Lỗ hổng bảo mật trên Android cho phép hacker chèn mã độc vào ứng dụng mà không cần thông báo

Hàng triệu thiết bị Android đang phải đối mặt với nguy cơ bị tấn công cực lớn khi có một lỗ hổng bảo mật nghiêm trọng trên hệ điều hành này.

Lỗ hổng bảo mật mang tên Janus, cho phép hacker âm thầm thay đổi mã code có trong các ứng dụng Android mà không hề ảnh hưởng đến chứng chỉ hợp lệ của ứng dụng trước đó. Điều này cho phép hacker ngấm ngầm thay đổi bản chất của ứng dụng và biến phiên bản ứng dụng này trở thành một ứng dụng độc hại mặc dù nhìn bên ngoài không có gì khác biệt so với bản gốc trước đó.

Lỗ hổng CVE-2017-13156 này được phát hiện và thông báo cho Google bởi các chuyên gia bảo mật đến từ công ty bảo mật di động GuardSquare vào mùa hè này và nhanh chóng được Google vá lỗi cùng lúc với hàng tá lỗ hổng khác dưới bản cập nhật bảo mật tháng 12 (December Android Bulletin).

Tuy nhiên phần đáng lo ngại là phần lớn người dùng Android sẽ không nhận được bản vá này trong vài tháng tới cho đến khi nhà sản xuất thiết bị phát hành các bản cập nhật cho dòng sản phẩm của họ. Điều này dẫn đến một hậu quả là một lượng lớn người dùng điện thoại thông minh đang phải đối mặt với nguy cơ dễ bị tấn công bởi tin tặc.

Lỗ hổng ảnh hưởng đến các ứng dụng sử dụng lượt đồ chữ ký APK v1 được cài đặt trên các ứng dụng khởi chạy Android 5.0 và 6.0.

Điều may mắn là lỗ hổng này không ảnh hưởng các thiết bị khởi chạy phiên bản Android 7.0 Nougat hoặc mới hơn. Riêng đối với người dùng các phiên bản Android cũ hơn nên nhanh chóng cập nhập phiên bản hệ điều hành mới nhất cho thiết bị của mình (nếu có).

Nếu nhà sản xuất điện thoại vẫn chưa cung cấp bản vá, bạn hãy tự bảo vệ mình bằng cách không cài đặt các ứng dụng và cập nhật từ các nguồn không rõ ràng ngoài Google Play Store để giảm thiểu nguy cơ bị hack.

Minh Hương