Hàng triệu điện thoại Xiaomi có thể dễ dàng bị hack từ xa
Cập nhật lúc: 14/07/2016, 14:20
Cập nhật lúc: 14/07/2016, 14:20
Theo đó, nhà nghiên cứu của IBM X-Force - ông David Kaplan đã phát hiện ra lỗ hổng gây nguy hiểm cho những chiếc điện thoại Xiaomi.
Cụ thể, một lỗ hổng nguy hiểm trong trong quá trình thực thi code từ xa (remote code execution - RCE) cho phép hacker xâm nhập và kiểm soát toàn bộ các điện thoại Xiaomi đã xuất hiện. Lỗ hổng này tồn tại trong các phiên bản MIUI trước phiên bản Global Stable 7.2 dựa trên Android 6.0 của điện thoại Xiaomi.
Từ lỗ hổng này, hacker có thể lợi dụng việc truy cập vào hệ thống mạng công cộng như wifi tại các quán cafe để cài đặt những phần mềm độc hại từ xa một cách dễ dàng.
Các nhà nghiên cứu cũng đã tìm thấy một số ứng dụng trong gói phân tích của MIUI có thể bị lạm dụng để cung cấp thông tin cập nhật ROM chứa mã độc.
Được biết, các gói phân tích dễ bị xâm nhập tồn tại trong ít nhất bốn ứng dụng mặc định được Xiaomi cài sẵn trong hệ điều hành MIUI cho những chiếc điện thoại của mình.
Các nhà nghiên cứu cho biết: "Lỗ hổng mà chúng tôi phát hiện ra cho phép hacker triển khai cuộc tấn công MITI nhằm thực thi các code tùy ý giống như tài khoản Android có quyền cao nhất".
Lỗ hổng này cho phép hacker có thể thêm vào một phản ứng JSON nhằm kích hoạt tải về một bản cập nhật với đường link giả, chứa mã độc được thực hiện ở cấp độ hệ thống, cấp độ có quyền cao nhất trên các thiết bị Android.
Vì không có bất kỳ xác nhận mật mã của mã cập nhật, các gói phân tích (com.xiaomi.analytics) sẽ thay thế chính nó với "phiên bản tấn công-cung cấp thông qua cơ chế DexClassLoader của Android"
Hay nói cách khác, các gói phân tích không sử dụng HTTPS để truy vấn một máy chủ cập nhật các bản cập nhật và cũng không nó tải về các gói giao thức HTTPS, do đó, cho phép hacker có thể để sửa đổi các bản cập nhật.
Để hạn chế sự xâm phạm của hacker và những nguy hại có thể xảy ra, người dùng thiết bị Xiaomi được khuyến nghị cập nhật lên phiên bản MIUI Global Stable 7.2 trong thời gian sớm nhất.
00:59, 11/07/2016
19:29, 27/06/2016
07:58, 27/06/2016
00:29, 27/06/2016
14:36, 16/11/2015