Cách đây ít hôm hãng Bluebox Labs đã công bố một lỗi bảo mật bốn năm tuổi trong Android có khả năng ảnh hưởng đến 99% thiết bị chạy hệ điều hành này. Lỗi này liên quan đến việc vượt qua khóa ứng dụng để cài malware vào máy của người dùng nên nó được gọi với cái tên "Master Key". Giờ đây Bluebox đã cung cấp một công cụ nhỏ để giúp nhận biết xem chiếc máy của chúng ta đã được vá lỗi hay chưa. Ngoài ra, ứng dụng này còn có khả năng thông báo xem liệu những app nào đang có ý định khai thác "Master Key" để gây nguy hiểm đến chiếc smartphone, tablet của bạn. Dựa vào đây, bạn có thể quyết định gỡ bỏ app độc hại đó ra khỏi máy trong lúc chờ đợi bản update từ nhà sản xuất. Phía Google cũng xác nhận rằng hãng đã vá xong lỗ hổng bảo mật này và bản cập nhật đã được chuyển đến các nhà sản xuất phần cứng để họ phân phối cho người dùng. Cách xem:
- Dòng đầu sẽ cho biết là máy đã được vá lỗi Master Key hay chưa
- Dòng thứ hai sẽ cho biết là máy có cho phép cài ứng dụng từ bên ngoài Google Play hay không
- Dòng thứ ba cho biết có app nào khai thác lỗ hổng Master Key hay không, nếu có sẽ hiển thị dòng chữ màu đỏ với tên của app
Tải và cài đặt công cụ của Bluebox
tại đây
Bluebox Labs nói rằng lỗ hổng này đã xuất hiện từ thời Android 1.6 "Donut", tức là bốn năm về trước, và ảnh hướng đến "99%" thiết bị chạy Android. Thông thường, các ứng dụng sẽ được chứng thực bằng một chữ kí số đã mã hóa, do đó các bản cập nhật không do chính lập trình viên phát hành (tức có khóa mã khác với app gốc) sẽ bị từ chối cài đặt. Thế nhưng theo Bluebox, họ đã phát hiện ra một cách để thay đổi, chỉnh sửa tập tin APK mà không cần phải bẻ khóa chữ kí số nói trên. Đây là thứ mà tin tặc có thể khai thác để cài mã độc vào thiết bị, miễn là hacker tìm ra cách phân phối gói cài đặt đó đến tay người dùng. Việc tận dụng Google Play Store để phân phối và cài app đã chỉnh sửa là không khả thi bởi Google đã cập nhật kho app để ngăn chặn việc đó xảy ra. Nhưng nếu người dùng cài phần mềm từ các kho ứng dụng bên thứ ba, hoặc tự tay tải về rồi chép vào máy để cài, thì nguy cơ bị dính mã độc thông qua lỗi nói trên là có thật. Nếu người dùng bị lừa vào các website hoặc mở các email có chứa mã độc thì chuyện tương tự cũng có thể xảy ra. Một khi kẻ tấn công đã cài được mã độc của mình, hắn có thể toàn quyền truy cập vào hệ thống của bạn, từ đó đánh cắp dữ liệu (email, SMS, tài liệu), bị trích xuất tất cả mật khẩu của các dịch vụ đang đăng nhập trên máy cũng như biến thiết bị Android thành một botnet. Chưa hết, malware còn có thể gọi điện, nhắn tin, chụp ảnh và thu âm trái phép mà người dùng không hay biết.