2 ứng dụng Android cực kì phổ biến dính lỗ hổng nguy hiểm

(PLO)- Theo Microsoft, một số ứng dụng Android cực kì phổ biến bị dính lỗ hổng Dirty Stream, cho phép kẻ gian thực thi mã tùy ý.

0:00 / 0:00
0:00
  • Nam miền Bắc
  • Nữ miền Bắc
  • Nữ miền Nam
  • Nam miền Nam

Chia sẻ trong một báo cáo gần đây, nhà phân tích Dimitrios Valsamaras thuộc nhóm Microsoft Threat Intelligence cho biết lỗ hổng Dirty Stream cho phép kẻ tấn công có thể thực thi mã tùy ý, đánh cắp token... Đồng thời kiểm soát hoàn toàn hành vi của ứng dụng, tận dụng các tokens bị đánh cắp để truy cập trái phép vào tài khoản trực tuyến và dữ liệu khác của nạn nhân.

Hai trong số các ứng dụng Android phổ biến bị dính lỗ hổng Dirty Stream, bao gồm:

- Xiaomi File Manager (com.mi. Android.globalFileexplorer) - Hơn 1 tỉ lượt cài đặt

- WPS Office (cn.wps.moffice_eng) - Hơn 500 triệu lượt cài đặt

Mặc dù Android thực hiện cách ly bằng cách chỉ định cho mỗi ứng dụng không gian bộ nhớ và dữ liệu chuyên dụng, nhưng nó cung cấp cái gọi là content provider (nhà cung cấp nội dung) để tạo điều kiện chia sẻ dữ liệu và tệp giữa các ứng dụng một cách an toàn. Tuy nhiên, việc giám sát quá trình thực hiện có thể cho phép bỏ qua các hạn chế đọc/ghi trong thư mục chính của ứng dụng.

Các ứng dụng Android dính lỗ hổng Dirty Stream được cài đặt hơn 4 tỉ lần. Ảnh minh họa
Các ứng dụng Android dính lỗ hổng Dirty Stream được cài đặt hơn 4 tỉ lần. Ảnh minh họa

Valsamaras cho biết: “Mô hình dựa trên nhà cung cấp nội dung này cung cấp cơ chế chia sẻ tệp được xác định rõ ràng, cho phép ứng dụng phục vụ chia sẻ tệp của nó với các ứng dụng khác một cách an toàn.

Tuy nhiên, chúng tôi thường xuyên phát hiện các ứng dụng tiêu thụ không xác thực nội dung của tệp mà nó nhận được, và điều đáng lo ngại nhất là nó sử dụng tên tệp do ứng dụng phục vụ cung cấp để lưu vào bộ đệm.”

Các kịch bản tấn công khác nhau lợi dụng lỗ hổng Dirty Stream. Ảnh: Microsoft
Các kịch bản tấn công khác nhau lợi dụng lỗ hổng Dirty Stream. Ảnh: Microsoft

Việc này có thể gây ra hậu quả nghiêm trọng. Nói cách khác, kẻ tấn công có thể lợi dụng việc ứng dụng tiêu thụ tin tưởng một cách mù quáng vào dữ liệu đầu vào để ghi đè tệp tin, thực thi mã tùy ý, đánh cắp thông tin nhạy cảm.

Sau khi vấn đề được báo cáo, cả Xiaomi và WPS Office đều đã khắc phục sự cố từ tháng 2-2024. Tuy nhiên, Microsoft cho biết lỗ hổng Dirty Stream có thể phổ biến hơn, và yêu cầu các nhà phát triển phải kiểm tra ứng dụng Android của họ để phát hiện các sự cố tương tự.

Google cũng đã công bố hướng dẫn riêng về vấn đề này, kêu gọi các nhà phát triển xử lý đúng cách tên tệp do máy chủ ứng dụng cung cấp.

Nếu đang sử dụng 2 ứng dụng Android kể trên, người dùng nên cập nhật chúng lên phiên bản mới nhất thông qua Google Play, đồng thời không cài đặt từ các file APK bên ngoài để hạn chế rủi ro.

Đọc thêm

7,3 triệu tin nhắn cảnh báo mưa lũ được gửi qua Zalo

7,3 triệu tin nhắn cảnh báo mưa lũ được gửi qua Zalo

(PLO)- Để chủ động ứng phó với tình hình mưa lớn, lũ quét, sạt lở đất và mưa đá, Cục Quản lý đê điều và phòng, chống thiên tai - Bộ Nông nghiệp và Môi trường đã phối hợp với Zalo gửi tin nhắn cảnh báo đến khu vực vùng núi và trung du Bắc Bộ.

Hậu trường Esports World Cup lên sóng trong loạt phim mới

Hậu trường Esports World Cup lên sóng trong loạt phim mới

(PLO)- Loạt phim tài liệu gồm 5 tập do đạo diễn đoạt giải Emmy R.J Cutler thực hiện, đưa khán giả đến với những câu chuyện con người đằng sau giải đấu esports lớn nhất thế giới, sẽ được phát hành trên YouTube dành cho khán giả Việt Nam

Cuộc đua AI trong ngành ngân hàng đang nóng lên

Cuộc đua AI trong ngành ngân hàng đang nóng lên

(PLO)- Sau giai đoạn đầu tập trung cho chuyển đổi số, nhiều ngân hàng đang bắt đầu tìm cách đưa AI vào các hoạt động vận hành hằng ngày nhằm tăng hiệu quả xử lý công việc và cải thiện trải nghiệm khách hàng.

Tin công nghệ 9-6: Mong chờ gì tại sự kiện WWDC 2026 của Apple tối nay?

Tin công nghệ 9-6: Mong chờ gì tại sự kiện WWDC 2026 của Apple tối nay?

(PLO)- Tin công nghệ 9-6 sẽ có các nội dung như mong chờ gì tại sự kiện WWDC 2026 của Apple tối nay? Vì sao smartphone Android chưa phổ biến tính năng sạc không dây Qi2, OpenAI đang phát triển ChatGPT thành siêu ứng dụng, cách sử dụng công cụ chỉnh sửa Google Photos để làm ảnh nổi bật.

Viettel muốn tạo ra AI hiểu người Việt hơn ChatGPT?

Viettel muốn tạo ra AI hiểu người Việt hơn ChatGPT?

(PLO)- Viettel AI vừa công bố VT-Super-120B-A12B, mô hình ngôn ngữ lớn tiếng Việt có quy mô 120 tỷ tham số, được phát triển nhằm phục vụ các bài toán đặc thù của cơ quan, tổ chức và doanh nghiệp trong nước.

Những ‘món quà’ bất ngờ từ phần mềm lậu

Những ‘món quà’ bất ngờ từ phần mềm lậu

(PLO)-Các doanh nghiệp chủ quan cho phép cài các phần mềm lậu hay phần mềm bẻ khóa (crack) lên các máy tính trong mạng nội bộ đã vô tình rước hiểm họa an ninh mạng trực tiếp vào hệ thống của tổ chức.