Theo Wired, công ty bảo mật di động Kryptowire đã tìm ra lỗ hổng bảo mật firmware trên các thiết bị đến từ Asus, Essential, LG và ZTE và những nhà sản xuất smartphone này hứa hẹn sẽ khắc phục sớm.
Cụ thể, các nhà bảo mật đã tìm thấy các lỗi trong firmware của 10 thiết bị khác nhau được phân phối từ những nhà mạng lớn của Mỹ. Lỗ hổng bảo mật này cho phép kẻ tấn công chiếm quyền điểu khiển hoặc khóa thiết bị của nạn nhân, để kiểm soát micrô và hơn thế nữa.
Những nhà nghiên cứu nhận thấy hầu hết các cuộc tấn công đều “đánh lừa” người dùng tải xuống một số ứng dụng độc hại sau đó những kẻ gian mới khai thác được các lỗ hổng trong firmware. Nghiên cứu này được tài trợ bởi Bộ An ninh Nội địa, đang được giới thiệu vào hôm nay tại hội nghị an ninh Black Hat USA .
Theo Kryptowire, những lỗ hổng này xuất phát từ bản chất mở của Android, cho phép các bên thứ ba chỉnh sửa mã nguồn và sửa đổi trước khi cài đặt lên thiết bị.
Các nhà nghiên cứu còn phát hiện bản chất mở này của Android cũng có thể dẫn đến những lỗ hổng trong bảo mật của điện thoại. Wired cho biết các nhà sản xuất đã thiếu chú ý về mặt bảo mật khi tùy biến lại Android theo ý mình và đây là vấn đề cố hữu của Android.
Sự cố này đã được đã được phát hiện trên Asus Zenfone V Live. Wired chia sẻ, Kryptowire đã tìm thấy lỗ hổng trên mã của thiết bị cho phép kẻ gian tiếp cận hoàn toàn được thiết bị.
Kẻ gian có thể chụp được ảnh màn hình ảnh, quay video, đọc tin nhắn và sửa đổi cả tin nhắn. Asus đã nhận thấy được sự nguy hiểm của vấn đề này và đang cật lực làm việc để tung ra một bản vá bảo mật nhằm khắc phục vấn đề.
Essential, LG và ZTE đều phản hồi với Wired rằng họ đã khắc phục được một số vấn đề được xác định bởi Kryptowire sau khi được công ty này cảnh báo.
Hiện tại, chỉ có nhà mạng AT & T xác nhận đã triển khai bản cập nhật đến người dùng còn những nhà mạng lớn khác tại Mỹ vẫn chưa phản hồi.
Nguồn: Theverge
