VnReview
Hà Nội

Hơn 400 lỗ hổng trong chip Snapdragon khiến một tỉ thiết bị Android có nguy cơ bị đánh cắp dữ liệu

Các nhà nghiên cứu vừa phát hiện ra hơn 400 lỗ hổng có trong những con chip Snapdragon của Qualcomm, ảnh hưởng đến hơn 1 tỉ thiết bị Android. Các lỗ hổng này có thể được khai nhắc nhằm cài đặt những ứng dụng độc hại trên các thiết bị được nhắm đến mà không yêu cầu quyền từ người dùng. Điều này có thể giúp kẻ xấu lấy cắp dữ liệu, theo dõi vị trí hoặc nghe lén.

Một tỉ thiết bị Android có nguy cơ bị đánh cắp dữ liệu do một lỗi có trong chip Snapdragon

Các lỗ hổng này tác động trực tiếp đến chức năng xử lý tín hiệu kỹ thuật số của những bộ xử lý Snapdragon, vốn được sử dụng để xử lý video, âm thanh, thực tế tăng cường hay những chức năng đa phương tiện khác. Chúng cũng được sử dụng để điều khiển các tính năng sạc nhanh. Những lỗ hổng này cho phép kẻ tấn công ẩn mã độc trong hệ điều hành, khiến việc gỡ bỏ hoàn toàn bất khả thi. Những kẻ tấn công cũng có thể khiến thiết bị Android không phản hồi được, gây khó khăn cho việc sử dụng thiết bị nhằm thực hiện bất kỳ thay đổi nào hay giải quyết vấn đề.

Qualcomm đã được thông báo về những lổ hồng này, được Check Point đặt tên là Achilles. Những lỗi này được gán các mã CVE như sau để tiện theo dõi: CVE-2020-11201, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207, CVE-2020-11208 và CVE-2020-11209. Check Point Research chưa công bố công khai đầy đủ chi tiết kỹ thuật của những lỗ hổng này, bao gồm cả chi tiết về bộ xử lý cụ thể nào bị ảnh hưởng bởi các lỗ hổng này.

Về phần mình, Qualcomm đã phát hành bản sửa lỗi, nhưng theo văn bản, nó chưa được đưa đến bất kỳ thiết bị Android nào dưới dạng bản cập nhật phần mềm, hoặc được tung ra như một phần trong cơ sở mã của Android dưới dạng bản vá. Google và Qualcomm hiện chưa chia sẻ kế hoạch thời điểm cụ thể phát hành bán vá. Dựa trên số lượng thiết bị bị ảnh hưởng bởi những lỗi này, sẽ không dễ dàng để các bản vá có thể được đưa đến tất cả các thiết bị.

Trong một tuyên bố được chia sẻ với Ars Technica, Qualcomm cho biết rằng chưa có bằng chứng nào về việc các lỗ hổng đã được khai thác trong thực tế. Tuy nhiên, công ty khuyên rằng, người dùng chỉ nên cài đặt ứng dụng từ các nơi đáng tin cậy, chẳng hạn như Google Play Store.

"Liên quan đến lỗ hổng Qualcomm Compute DSP do Check Point phát hiện, chúng tôi đã làm việc cật lực để xác thực vấn đề và đưa ra những biện pháp giảm nhẹ phù hợp cho các OEM. Chúng tôi hiện không có bằng chứng nào cho thấy những lỗ hổng này đang bị khai thác. Chúng tôi khuyến khích người dùng cuối cập nhật thiết bị của họ khi các bản vá lỗi xuất hiện và chỉ cài đặt ứng dụng từ các nơi đáng tin cậy như Google Play Store."

Tuy nhiên, điều quan trọng cần lưu ý là Google Play Store không thực sự đảm bảo rằng các ứng dụng có sẵn trên đó có thể đáng tin cậy. Như nhiều lần chúng ta thấy trong quá khứ, Play Store từng bị lợi dụng để phân phối các ứng dụng độc hại cho hàng triệu người dùng.

Minh Hùng theo Wccftech

https://wccftech.com/1-billion-android-devices-at-data-theft-risk-due-to-snapdragon-chip-flaw/

Chủ đề khác