Thứ bảy, 08 Tháng 8 2015 04:38

“Certifi-Gate” – Lỗ hổng Android khiến hacker kiểm soát hoàn toàn thiết bị của bạn Nổi bật

Được viết bởi 
Đánh giá bài viết
(7 Đánh giá)

Trong khi người dùng Android vẫn đang “bận rộn” với lỗ hổng Stagefright thì một lần nữa lại phải đối mặt với lỗ hổng nghiêm trọng khác có tên “Certifi-Gate”. Hàng triệu thiết bị có thể bị xâm nhập thông qua khai thác một plugin cài đặt sẵn bởi các nhà sản xuất điện thoại Android.

 

hack điện thoại android

Hầu hết các nhà sản xuất thiết bị Android đều cài đặt sẵn plugin ‘Remote Support Tool (mRST)’ trên điện thoại nhằm hỗ trợ người dùng sử dụng công cụ điều khiển từ xa như RSupport hoặc TeamViewer. Nhưng tồn tại một lỗ hổng nghiêm trọng trong mRTS plugin cho phép ứng dụng độc hại đoạt quyền truy cập, ngay cả khi thiết bị chưa được root.

Theo các nhà nghiên cứu người Israel Ohad Bobrov và Avi Bashan thuộc công ty Check Point cho biết, lỗ hổng Certifi-Gate nằm trong cách thức các nhà sản xuất sử dụng chứng chỉ số trên công cụ hỗ trợ từ xa. Những công cụ này có quyền truy cập “root” trên thiết bị chưa được “root”. Do đó những ứng dụng sử dụng Certifi-Gate có thể truy cập vào tất cả các thành phần nhạy cảm bao gồm:

  • Dữ liệu hiển thị trên màn hình
  • Keylogging
  • Thông tin mật
  • Cài đặt ứng dụng độc hại,…

Người dùng không thể gỡ bỏ plugin này do nó nằm trong lõi của hệ điều hành. Video minh họa:

 

 

Các nhà nghiên cứu đã phát hành ứng dụng phát hiện thiết bị có bị khai thác bởi lỗ hổng này không. Bạn có thể tải về tại đây . Chúng ta vẫn phải chờ đợi bản vá lỗ hổng đến từ các nhà sản xuất thiết bị.

Đọc 3392 lần

Xin vui lòng để lại nhận xét

Vui lòng điền đầy đủ các mục (*) bắt buộc. Comment không hỗ trợ HTML.

About us

Website được thành lập với mong muốn đưa kiến thức an ninh thông tin, những tin tức cảnh báo và hỗ trợ ứng cứu sự cố về mất an ninh, an toàn thông tin.

Sau hơn 4 năm học hỏi và phát triển chúng tôi luôn tự hào với đội ngũ chuyên gia hàng đầu về an ninh thông tin.

Chúng tôi hoạt động với tinh thần và phương châm kiên định:

"Vì một thế giới mạng an toàn hơn".

Last posts

Newsletter

Nhận cảnh báo, tin tức cập nhật mới nhất về tình hình an ninh mạng, lỗ hổng, công nghệ mới...