Phát hiện lỗ hổng bảo mật nghiêm trọng trên điện thoại Google Pixel
Một lỗ hổng bảo mật nghiêm trọng đã được phát hiện trên điện thoại Google Pixel, có khả năng ảnh hưởng đến hàng triệu thiết bị và khiến chúng dễ bị tấn công bởi phần mềm độc hại, phần mềm gián điệp và các cuộc tấn công mạng khác. Lỗ hổng này, được phát hiện bởi công ty bảo mật di động iVerify, xuất phát từ một ứng dụng cài đặt sẵn có tên Showcase, cấp quyền hệ thống quá mức cho kẻ tấn công tiềm năng.
Lỗ hổng Showcase
Theo iVerify, ứng dụng Showcase, ban đầu được phát triển bởi Smith Micro cho các bản demo tại cửa hàng của Verizon, có mặt trên một tỷ lệ rất lớn các thiết bị Pixel được bán ra trên toàn thế giới kể từ tháng 9 năm 2017. Các vấn đề chính bao gồm:
- Ứng dụng chạy với quyền hệ thống quá mức
- Nó chấp nhận các tệp qua kết nối HTTP không mã hóa
- Người dùng thông thường không thể gỡ bỏ ứng dụng
Những yếu tố này kết hợp lại tạo ra một rủi ro bảo mật đáng kể, có khả năng cho phép tin tặc:
- Thực thi mã từ xa trên các thiết bị bị ảnh hưởng
- Theo dõi dữ liệu người dùng
- Kiểm soát thiết bị Android mục tiêu
Phản ứng của Google
Mặc dù vấn đề nghiêm trọng, phản ứng của Google đã khiến các chuyên gia bảo mật lo ngại:
- Lỗ hổng đã được báo cáo cho Google vào đầu tháng 5
- Cho đến nay, chưa có bản vá lỗi nào được phát hành
- Google tuyên bố họ chưa thấy bằng chứng về việc khai thác tích cực
- Công ty dự định gỡ bỏ ứng dụng khỏi các thiết bị Pixel được hỗ trợ trong những tuần tới
 |
|---|
| Nhấn mạnh các biện pháp bảo mật khi Google giải quyết lỗi nghiêm trọng trên thiết bị Pixel |
Ảnh hưởng đối với người dùng Pixel
Trong khi Google đang làm việc để khắc phục, người dùng Pixel nên nhận thức được các rủi ro tiềm ẩn:
- Lỗ hổng ảnh hưởng đến hầu hết điện thoại Pixel được bán từ năm 2017
- Việc khai thác đòi hỏi quyền truy cập vật lý vào thiết bị và mật khẩu của người dùng
- Các thiết bị dòng Pixel 9 mới không bị ảnh hưởng
Bảo vệ điện thoại Pixel của bạn
Cho đến khi Google phát hành bản vá, người dùng có thể thực hiện các bước để tăng cường bảo mật:
- Đảm bảo Google Play Protect được bật
- Cân nhắc sử dụng ứng dụng chống virus của bên thứ ba uy tín
- Cập nhật thiết bị với các bản vá bảo mật mới nhất
- Thận trọng về quyền truy cập vật lý vào thiết bị của bạn
 |
|---|
| Một lời nhắc nhở cho người dùng thực hiện các biện pháp chủ động để bảo vệ điện thoại Pixel của họ |
Phản ứng của ngành công nghiệp
Cộng đồng bảo mật đang xem xét lỗ hổng này một cách nghiêm túc. Palantir Technologies, đơn vị hỗ trợ xác định vấn đề, đã công bố kế hoạch chuyển đổi toàn bộ đội ngũ di động của họ sang thiết bị Apple trong vài năm tới, viện dẫn lo ngại về cách Google xử lý tình huống.
Trong khi chúng ta chờ đợi bản vá chính thức từ Google, sự cố này là một lời nhắc nhở về tầm quan trọng của các biện pháp bảo mật mạnh mẽ trong sản xuất thiết bị di động và sự cần thiết phải phản ứng nhanh chóng đối với các lỗ hổng đã được xác định.