Samsung vá lỗ hổng ảnh hưởng đến tất cả smartphone bán ra từ năm 2014

Hoàng Linh| 07/05/2020 21:24
Theo dõi ICTVietnam trên

Samsung đã vá một lỗ hổng nghiêm trọng được các nhà nghiên cứu bảo mật của Google phát hiện.

Nhà cung cấp điện thoại thông minh Hàn Quốc Samsung đã phát hành bản cập nhật bảo mật trong tuần này để khắc phục lỗ hổng nghiêm trọng ảnh hưởng đến tất cả các điện thoại thông minh (smartphone) được bán ra kể từ năm 2014.

Samsung vá lỗ hổng ảnh hưởng đến tất cả smartphone bán ra từ năm 2014 - Ảnh 1.

Ảnh: krapalm

Lỗ hổng bảo mật thuộc hệ điều hành Android chạy trên các thiết bị Samsung xử lý định dạng hình ảnh Qmage tùy chỉnh (.qmg), được hỗ trợ trên tất cả smartphone Samsung tung ra từ cuối năm 2014.

Mateusz Jurcczyk, nhà nghiên cứu bảo mật thuộc nhóm săn tìm lỗi Project Zero của Google, đã phát hiện ra một cách để khai thác Skia (thư viện đồ họa Android) xử lý các hình ảnh Qmage được gửi đến một thiết bị.

Lỗ hổng có thể được khai thác mà không cần sự tương tác người dùng

Jurczyk cho biết lỗi Qmage có thể được khai thác trong một kịch bản không cần nhấp chuột (zero click), tức là không cần bất kỳ tương tác nào của người dùng. Điều này xảy ra vì Android chuyển hướng tất cả hình ảnh được gửi đến thiết bị tới thư viện Skia để xử lý - như tạo bản xem trước hình thu nhỏ - mà người dùng không biết.

Nhà nghiên cứu đã phát triển một bản demo bằng chứng (proof-of-concept) khai thác lỗi tấn công ứng dụng Samsung Messages, có trên tất cả các thiết bị của Samsung và chịu trách nhiệm xử lý tin nhắn SMS, MMS.

Nhà nghiên cứu cho biết ông đã khai thác lỗi này bằng cách gửi nhiều tin nhắn đa phương tiện (MMS) lặp lại đến một thiết bị của Samsung. Mỗi tin nhắn cố gắng đoán vị trí của thư viện Skia trong bộ nhớ điện thoại Android, một thao tác cần thiết để vượt qua bảo vệ ASLR (Ngẫu nhiên bố trí không gian địa chỉ) của Android.

Jurczyk cho biết một khi thư viện Skia được đặt trong bộ nhớ, MMS cuối cùng sẽ cung cấp payload Qmage thực tế, sau đó thực thi mã của kẻ tấn công trên thiết bị.

Samsung vá lỗ hổng ảnh hưởng đến tất cả smartphone bán ra từ năm 2014 - Ảnh 2.

Cũng theo nhà nghiên cứu của Google, cuộc tấn công thường cần từ 50 - 300 tin nhắn MMS để thăm dò và bỏ qua ASLR, trung bình mất khoảng 100 phút. Cuộc tấn công được điều chỉnh ở mức mà không tạo ra bất cứ cảnh báo nào cho người dùng.

"Tôi đã phát hiện ra các cách thức để các tin nhắn MMS được xử lý mà không hề tạo ra âm thanh thông báo trên Android, vì vậy các cuộc tấn công lén lút hoàn toàn có thể xảy ra", nhà nghiên cứu Google cho biết.

Ngoài ra, nhà nghiên cứu đã thử kiểm chứng việc khai thác lỗi Qmage thông qua các phương thức khác ngoài MMS và ứng dụng Samsung Messages, vì về mặt lý thuyết có thể tấn công bất kỳ ứng dụng nào chạy trên một điện thoại Samsung đều có thể nhận hình ảnh Qmage từ một kẻ tấn công từ xa.

Lỗ hổng được vá trong tuần này

Nhà nghiên cứu đã phát hiện ra lỗ hổng vào tháng 2 và báo cáo lỗi này đến Samsung. Nhà sản xuất điện thoại Hàn Quốc đã vá lỗi trong bản cập nhật bảo mật tháng 5 năm 2020.

Lỗi này được được đặt tên là SVE-2020-16747 trong bản tin bảo mật của Samsung và CVE-2020-8899 trong cơ sở dữ liệu CVE của Mitre.

Các điện thoại thông minh khác dường như không bị ảnh hưởng vì dường như chỉ Samsung đã sửa đổi hệ điều hành Android để hỗ trợ định dạng hình ảnh Qmage tùy chỉnh - được phát triển bởi công ty Quramsoft của Hàn Quốc.

Báo cáo lỗ hổng này là một phần trọng tâm gần đây của Project Zero tập trung về bề mặt tấn công không cần nhấp chuột trong các hệ điều hành hiện đại và đặc biệt là trong mã xử lý đồ họa của các hệ điều hành. Các nhà nghiên cứu trước đây của Google cũng đã tiết lộ 14 lỗi không nhấp chuột trong Image I/O, khung phân tích hình ảnh của Apple.

Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
  • Microsoft hắt hơi và lĩnh vực CNTT thế giới cảm lạnh
    Một lỗi trong hệ thống của Crowdstrike, đối tác của Microsoft, đã gây gián đoạn hầu hết các dịch vụ trên hành tinh và là lời cảnh báo lớn về rủi ro hệ thống của dịch vụ đám mây.
  • Còn 11 triệu thuê bao 2G và một số kiến nghị giải pháp
    Tính đến tháng 5/2024, số thuê bao 2G only còn hơn 11 triệu thuê bao, chiếm khoảng 9% tổng số thuê bao di động trên toàn quốc. Các nhà mạng đang kiến nghị các giải pháp giảm số thuê bao 2G khi hệ thống công nghệ này tiến tới dừng hoạt động vào ngày 15/9/2024.
  • VNPT cung cấp đường truyền Internet thế hệ mới XGSPON, đột phá về tốc độ
    Với tốc độ truyền tải tối đa lên tới 10 Gbps, đường truyền Internet công nghệ mới XGigabit-capable Passive Optical Network (XGSPON) của VNPT đang tiên phong trong việc đón đầu, đáp ứng xu hướng kết nối của thời đại số, đem đến trải nghiệm tối ưu cho khách hàng.
  • VinaPhone hỗ trợ khách hàng nâng cấp điện thoại 4G miễn phí
    Thực hiện chủ trương tắt sóng 2G của Bộ Thông tin và Truyền thông vào tháng 9/2024 tới đây, VinaPhone triển khai loạt ưu đãi khách hàng nâng cấp lên điện thoại 4G miễn phí và nhiều ưu đãi hấp dẫn khác để duy trì liên lạc mà không phải lo lắng về chi phí.
  • 4 kỹ năng cần có để không bị AI thay thế
    Sự phát triển bùng nổ của trí tuệ nhân tạo (AI) trong những năm gần đây đã gây ra không ít tranh luận về việc liệu AI có thể thay thế con người và đe dọa trực tiếp đến công việc của người lao động trong tương lai hay không. Theo đó, chúng ta cần trang bị những gì để thích ứng.
  • ‏FPT khai trương văn phòng mới tại Kuala Lumpur, Malaysia‏
    FPT vừa chính thức cắt băng khánh thành văn phòng thứ hai tại Kuala Lumpur, nhằm tăng cường hiện diện của công ty tại khu vực và trên toàn cầu, từ đó mở rộng tiếp cận các khách hàng lớn. ‏
  • Nhân lực ngành quản trị kinh doanh cần cập nhật, ứng dụng công nghệ liên tục
    Quản trị Kinh doanh (QTKD) là một ngành "hot" trong những năm gần đây và dường như vẫn chưa có dấu hiệu hạ nhiệt ngay cả khi hàng loạt ngành học mới liên tục ra đời.
  • VPBank cam kết đầu tư cho các tài năng trẻ lĩnh vực CNTT & Khoa học dữ liệu
    Sau thành công của các sân chơi công nghệ từ VPBank Cloud Technology Day 2023 tới VPBank Technology Hackathon 2024, Ngân hàng đánh giá cao tiềm năng của nhóm nguồn nhân lực trẻ và cam kết tiếp tục đầu tư hơn nữa để tiếp tục mang đến những cơ hội phát triển nghề nghiệp của các tài năng trẻ tại VPBank. Đó cũng là mục tiêu của chương trình VPBank Technology & Data Young Talents mà ngân hàng vừa mới triển khai.
  • VPBank và IFC hợp tác cung ứng vốn cho doanh nghiệp cà phê Việt Nam
    VPBank và Tổ chức Tài chính Quốc tế (IFC) mới đây đã hợp tác đồng tài trợ chuỗi cung ứng cho các công ty xuất khẩu cà phê, trong nỗ lực hỗ trợ cộng đồng doanh nghiệp vừa và nhỏ (SME) của Việt Nam tham gia sâu rộng hơn vào chuỗi cung ứng nông nghiệp toàn cầu.
  • Doanh nghiệp game thứ ba ký kết hợp tác đào tạo với PTIT
    Học viện Công nghệ Bưu chính Viễn thông (PTIT) - Bộ TT&TT và Công ty Cổ phần (CP) APPOTA (APPOTA) đã chính thức công bố hợp tác đào tạo và phát triển nguồn nhân lực ngành công nghiệp game.
Samsung vá lỗ hổng ảnh hưởng đến tất cả smartphone bán ra từ năm 2014
POWERED BY ONECMS - A PRODUCT OF NEKO