Theo một báo cáo xuất bản ngày hôm nay, gần 3 triệu thiết bị Android chứa lỗ hổng man-in-the-middle  phép hacker nắm toàn bộ quyền điều khiển thiết bị. Những smartphone bị ảnh hưởng nằm ở nhiều quốc gia trong đó tại Mỹ là nhiều nhất. Cuộc tấn công sẽ được thực hiện ở root level sau đó gửi thông tin về thiết bị cũng như các thông tin khác đến một máy chủ ở Trung Quốc và hai tên miền khác được kết nối tới firmware của thiết bị bị ảnh hưởng.

Công ty an ninh BitSight Technology đã đăng ký 2 tên miền và kiểm soát hai tên miền này. Kể từ khi nắm quyền điều khiển 2 tên miền đó, đã có tới 2,8 triệu thiết bị sử dụng tên miền này để cố gắng kết nối đến 2 tên miền đó nhằm tìm ra phần mềm có thể sử dụng với những chiếc điện thoại bị root. Nói một cách khác, lỗ hổng này có thể cho phép cài đặt các phần mềm độc hại lên những thiết bị bị nhiễm mà chủ máy thậm chí không hay biết. Mã độc, được cài dưới dạng ứng dụng, có thể theo dõi các thao tác trên bàn phím, cuộc gọi và nhiều thông tin khác.

Thông tin này xuất hiện sau khi tờ New York Times đưa tin về một loại phần mềm xuất phát từ một công ty Trung Quốc có tên Shanghai Adups Technology đã trở thành cửa hậu trên một số thiết bị Android. Các máy chủ tại Trung Quốc đã nhận thông tin từ những thiết bị này, bao gồm dữ liệu về địa điểm, tin nhắn và cuộc gọi thực hiện từ mỗi máy.

ZTE, Huawei và BLU là ba cái tên được nêu trong danh sách những smartphone có cài phần mềm Adups. Cả ZTE và Huawei đã cùng gửi thông cáo báo chí đến trang Phonearena để giải thích về vấn đề này. ZTE cho biết không một thiết bị nào của hãng tại Mỹ có chứa phần mềm này trong khi Huawei khẳng định hãng chưa bao giờ làm ăn với công ty nói trên. CEO BLU, Samuel Ohev-Zion trả lời tờ New York Times rằng công ty không biết gì về phần mềm Adups. Ông cũng đồng thời khẳng định phần mềm này không tồn tại trên bất cứ thiết bị nào của BLU đang được bán ra. Lỗ hổng do BitSight phát hiện không liên quan đến phần mềm Adups.

Theo BitSight, 55 model Android ít người biết đến đã cố gắng gửi dữ liệu về các sinkhole mà hãng kiểm soát (Sinkhole hay DNS sinkhole hoặc máy chủ sinkhole, internet sinkhole, BlackholeDNS là một máy chủ DNS cung cấp thong tin giả mạo để ngăn chặn việc sử dụng tên miền của sinkhole đó). Trong số 55 model, 26% được sản xuất bởi BLU, 11% của Infinix, 8% của Doogee. 47% số điện thoại này không cung cấp thông tin giúp lần ra nhà sản xuất. Thiết bị được kết nối với các tên miền có liên quan đến nhiều lĩnh vực như chính phủ, chăm sóc sức khỏe và ngân hàng.

Trong số các nhà sản xuất dính lứu đến sự việc này, chỉ có công ty BLU tại Miami là cam kết sẽ tung ra một bản cập nhật để xử lý lỗ hổng này. BitSight không chắc liệu bản cập nhật có thể được cài tự động không. Công ty nghiên cứu an ninh này cho biết BLU đã không trả lời cuộc gọi của hãng yêu cầu bình luận về sự việc. BitSight đã mua một chiếc BLU Studio G trên Best Buy và phát hiện ra rằng chiếc điện thoại này gửi về Trung Quốc cả những thông tin về chính thiết bị đó, chẳng hạn như số IMEI, con số giúp xác định sản phẩm.

Bộ An ninh Nội địa Hoa Kỳ đã đưa ra một văn bản hướng dẫn về lỗ hổng này và liệt kê danh sách ba máy chủ mà các thiết bị bị nhiễm cố gắng liên lạc. Máy chủ đầu tiên đặt tại Trung Quốc còn 2 máy chủ còn lại đặt tại các sinkhole của BitSight. Dưới đây là danh sách các smartphone Android bị nhiễm:

BLU Studio G

BLU Studio G Plus

BLU Studio 6.0 HD

BLU Studio X

BLU Studio X Plus

BLU Studio C HD

Infinix Hot X507

Infinix Hot 2 X510

Tờ Guardian đưa tin, hàng trăm thành viên thuộc diễn đàn Dan's Deals của Mỹ, vốn nổi tiếng vì dịch vụ mua bán bằng thẻ tín dụng, cho biết toàn bộ hồ sơ Google cũng như các tài khoản sao lưu và khôi phục có liên quan của họ đã bị chặn sử dụng mọi dịch vụ Google vì vi phạm chính sách tái bán điện thoại của "ông lớn" tìm kiếm này.

Tất cả những người dùng bị ảnh hưởng đã mua smartphone Pixel từ tổng đài Project Fi của Google và chuyển chúng cho một đối tượng mua đi bán lại ở New Hapmshire, một trong những bang miễn thuế kinh doanh ở Mỹ. Thương nhân ở New Hapmshire dự định tái bán những chiếc điện thoại đó và chia một phần lợi nhuận thu được cho những người đã gửi smartphone Pixel cho mình. Tuy nhiên, kế hoạch của họ hiện đang bị đình trệ sau lệnh cấm quy mô lớn của Google.

Theo Daniel Eleff, chủ diễn đàn Dan's Deals, một vài người đã mở nhiều tài khoản Google khác nhau để đặt mua hơn 5 điện thoại Pixel và họ đã bị khóa mọi tài khoản. Ông Eleff tiết lộ đã xác định được nơi cưu trú và liên lạc với thương nhân thu mua smartphone của Google và rằng "doanh nhân này sẽ vui vẻ trả lại mọi điện thoại cho Google nếu hãng xóa bỏ lệnh phong tỏa".

Theo ghi nhận của các phóng viên, lệnh cấm của Google có ảnh hưởng rộng và những người dùng vi phạm chính sách của công ty đã bị chặn sử dụng mọi dịch vụ của hãng, kể cả ứng dụng ảnh Photos và thư điện tử Gmail. Ngay cả các tài khoản khôi phục không được dùng để mua smartphone Pixel, nhưng có liên kết với những tài khoản vi phạm với vai trò lựa chọn sao lưu, cũng bị cấm dùng mọi dịch vụ của Google.

"Tôi không bênh vực cho những người vi phạm chính sách bán hàng, nhưng tôi nghĩ Google đã quá mạnh tay khi phong tỏa việc tiếp cận mọi dịch vụ của họ. Vi phạm chính sách tái kinh doanh điện thoại của Google có đáng phải lĩnh 'án tử' trực tuyến hay không?", ông Eleff viết trên trang cá nhân của mình.

Các điều khoản về dịch vụ của Google nêu rõ, các khách hàng "chỉ có thể mua các thiết bị cho việc sử dụng cá nhân. Bạn không được tái bán bất kỳ thiết bị nào, nhưng bạn có thể dùng thiết bị làm quà tặng". Điều thú vị là, thương nhân ở New Hapmshire đã "mua đi, bán lại" điện thoại Nexus suốt nhiều năm mà không bị Google "sờ gáy". Theo ông và các thành viên diễn đàn bị phạt, hãng chỉ nhận được vài ngàn đơn đặt hàng Pixel, thấp hơn nhiều so với lượng đặt hàng smartphone trước đây.

Tuấn Anh(Theo Phonearena)

Đây là mô hình tấn công dùng ransomware – mã độc tống tiền – rất phổ biến hiện nay. Tuy nhiên, theo ông Huy, do dữ liệu bài giảng đã được sao lưu vào ổ nhớ USB nên vẫn còn nguồn dự phòng, không buộc phải nạp tiền cho hacker để lấy mã mở khóa dữ liệu.

Nhưng vị chuyên gia từ RSA/DellEMC cho rằng có rất nhiều người, doanh nghiệp không hề có giải pháp sao lưu, có thể sẽ bị nguy cơ mất mát dữ liệu khi bị tấn công. Ngay cả khi có sao lưu dữ liệu, nguy cơ mất mát vẫn có thể xảy ra, đó là khi chính bản sao lưu dữ liệu cũng bị cài mã độc.

Trong hội thảo “Tăng cường an ninh mạng: Hiểm họa và giải pháp” do Lạc Việt phối hợp với DellEMC tổ chức hồi tuần trước, ông Huy cho biết bên cạnh việc sao lưu dữ liệu thường xuyên buộc phải làm, các dữ liệu sao lưu cũng cần được đảm bảo “sạch” bằng cách quét virus hoặc cô lập chúng vào vùng an toàn để không bị tấn công.