Người dùng Android gặp nguy vì lỗ hổng Skype

Thứ bảy - 13/07/2013 01:37
Một lỗ hổng trên Skype cho phép kẻ tấn công vượt qua màn hình khóa trên thiết bị Android bằng phương pháp vô cùng đơn giản.
Người dùng Android gặp nguy vì lỗ hổng Skype

Một lỗ hổng trên Skype cho phép kẻ tấn công vượt qua màn hình khóa trên thiết bị Android bằng phương pháp vô cùng đơn giản.

Hơn 100 triệu người dùng Android gặp nguy vì lỗ hổng Skype

“Pulser” - Quản trị viên diễn đàn dành cho lập trình viên nổi tiếng XDA-Developers Forum, thông báo về lỗi trong Skype phiên bản 3.2.0.6673 vừa được phát hành tháng trước. Theo số liệu của Microsoft, Skype hiện được cài đặt trên hơn 100 triệu thiết bị Android khắp thế giới.

Để khai thác lỗ hổng Skype trên thiết bị Android, “Pulser” chỉ cần thực hiện một số bước đơn giản (với điều kiện điện thoại hoặc máy tính bảng của nạn nhân đều đang mở ứng dụng Skype).

Bước 1: Kẻ tấn công gọi Skype tới thiết bị của nạn nhân để màn hình khóa thiết bị nạn nhân hiển thị tùy chọn trả lời hay từ chối cuộc gọi.

Bước 2: Chấp nhận cuộc gọi đến bằng cách chạm vào nút bấm màu xanh trên màn hình.

Bước 3: Kết thúc cuộc gọi trên thiết bị của kẻ tấn công.

Bước 4: Thiết bị của nạn nhân cũng kết thúc cuộc gọi và hiển thị trở lại màn hình khóa.

Bước 5: Tắt màn hình của thiết bị nạn nhân bằng nút nguồn, sau đó bật trở lại lần nữa.

Bước 6: Màn hình khóa đã bị vượt qua và vẫn duy trì tình trạng “vườn không nhà trống” cho tới khi được khởi động lại.

“Pulser” khai thác thành công lỗ hổng này trên các thiết bị như Sony Xperia Z, Samsung Galaxy Note 2Huawei Premia 4G. Microsoft vẫn chưa bình luận gì về sự việc này.

“Vượt rào” màn hình khóa không phải lỗi xa lạ đối với smartphone. Một lỗ hổng tương tự trong ứng dụng Viber từng được BKAV khám phá hồi tháng 4 năm nay đối với các máy từ Samsung, Sony, HTC.

Riêng 2 ví dụ của Skype và Viber đủ cho thấy sự yếu kém trong cấu trúc an ninh của nền tảng di động hay ít nhất là sự lỏng lẻo trong tương tác giữa các ứng dụng VoIP (gọi điện Internet) với nền tảng này.

Theo Jack E. Gold, nhà phân tích của J. Gold Associate, phải có thêm một lớp bảo mật nữa trên những thiết bị đang mang dữ liệu doanh nghiệp, nhất là khi nhân viên thường dùng thiết bị cá nhân cho mục đích công việc. Cách tiếp cận tốt nhất là cung cấp công nghệ ảo hóa để cô lập dữ liệu doanh nghiệp ra khỏi dữ liệu cá nhân.

Màn hình khóa trên bất kỳ thiết bị nào chưa bao giờ đáng tin cậy và dễ dàng bị “vượt rào” trên mọi nền tảng di động, Francois Lascelles, kiến trúc sư trưởng chuyên về bảo mật của hãng giải pháp Layer 7 nhận định.

Tác giả: Theo ICTNews

Nguồn tin: http://www.quantrimang.com.vn

Tổng số điểm của bài viết là: 0 trong 0 đánh giá

Click để đánh giá bài viết

Những tin mới hơn

Những tin cũ hơn

Yêu cầu sử dụng NukeViet 4

1. Môi trường máy chủ Yêu cầu bắt buộc Hệ điều hành: Unix (Linux, Ubuntu, Fedora …) hoặc Windows PHP: PHP 5.4 hoặc phiên bản mới nhất. MySQL: MySQL 5.5 hoặc phiên bản mới nhất Tùy chọn bổ sung Máy chủ Apache cần hỗ trợ mod mod_rewrite. Máy chủ Nginx cấu hình các thông...

Thăm dò ý kiến

Bạn biết gì về NukeViet 4?

Thống kê truy cập
  • Đang truy cập103
  • Máy chủ tìm kiếm10
  • Khách viếng thăm93
  • Hôm nay20,908
  • Tháng hiện tại313,285
  • Tổng lượt truy cập114,813,110
Left-column advertisement
  • Thông báo phát hành NukeViet 4.6.00

    NukeViet 4.6.00 là phiên bản tiếp theo của NukeViet CMS dựa trên kế thừa các chức năng của dòng 4.5 và yêu cầu máy chủ hỗ trợ php 7.4 trở lên. Đây cũng là bản cập nhật bảo mật rất quan trọng được khuyến nghị cho toàn bộ người dùng.
  • Thông báo bảo mật dòng NukeViet 4.5.x

    Dòng NukeViet 4.5.x đã bước vào giai đoạn duy trì cuối vòng đời. Trang này ghi nhận liên tục các vấn đề bảo mật và cách chúng tôi xử lý để giữ an toàn cho những website còn ở lại trên dòng 4.5.x đến tháng 7 năm 2027. Chúng tôi vẫn nỗ lực bảo vệ bạn ở mức tốt nhất có thể trên nền tảng này — nhưng nếu có điều kiện, hãy lên kế hoạch chuyển sang phiên bản mới hơn để được bảo vệ tận gốc.
  • Sinh viên ĐH Bách khoa Hà Nội giúp tìm ra lỗ hổng bảo mật của NukeViet

    Nguyễn Quang Bằng, sinh viên năm 4 ngành Khoa học Máy tính tại Đại học Bách Khoa Hà Nội, vừa được nền tảng CMS mã nguồn mở NukeViet vinh danh sau khi phát hiện và báo cáo một lỗ hổng bảo mật nghiêm trọng.
  • Thông báo phát hành NukeViet 4.5.08

    NukeViet 4.5.08 là Phiên bản tiếp theo của dòng NukeViet 4.5, đây là bản cập nhật bảo mật quan trong được đề xuất cho toàn bộ người dùng.
  • Thông tin chính thức về CVE-2025-8772, CVE-2024-36531 và CVE-2024-36528

    Phản hồi chính thức của đội code về các lỗ hổng bảo mật mới của NukeViet CMS được công bố trong năm 2024-2025 và hướng dẫn bảo vệ an toàn cho website của bạn trước các nguy cơ khai thác hoặc tấn công khác.
  • Thông báo phát hành NukeViet 4.5.07

    NukeViet 4.5.07 là Phiên bản tiếp theo của dòng NukeViet 4.5, trọng tâm là xử lý các vấn đề xoay quanh trình soạn thảo CKEditor 5 và tính năng block tùy chỉnh trong giao diện
  • Hướng dẫn tiếp tục sử dụng trình soạn thảo CKEditor 4 trên NukeViet 4.5 các phiên bản từ 4.5.07 về...

    Từ NukeViet 4.5.07 các website cài mới hoặc nâng cấp lên đều được tự động gỡ bỏ CKEditor 4 để đảm bảo tối đa tính bảo mật lâu dài. Nếu bạn có nhiều module hoặc ứng dụng vẫn cần phải dùng nó mà không muốn nâng cấp có thể làm theo hướng dẫn này để tiếp tục sử dụng.
Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây