Các chuyên gia thuộc hãng công nghệ phần mềm Check Point vừa phát hiện hai lỗ hổng "chết người" tồn tại trên mọi smartphone LG, cho phép các hacker thậm chí có thể xóa sạch những thiết bị này từ xa và biến chúng thành cục gạch thực sự.

{keywords}

Hai nhà nghiên cứu đến từ bộ phận bảo mật điện thoại di động của Check Point đã khám phá ra các điểm yếu trong tùy biến Android OS của LG, tạo kẽ hở cho tin tặc lợi dụng để kiểm soát thiết bị. Họ đã tiết lộ các lỗ hổng nghiêm trọng này sau khi LG tung ra các giải pháp vá lỗi.

Thông tin nói trên đang thu hút sự chú ý của dư luận, vì chỉ tính riêng ở Mỹ, LG ước tính chiếm gần 10% thị trường smartphone.

Google luôn phát hành các bản cập nhật bảo mật cho Android mỗi tháng. Song, do mỗi nhà sản xuất thiết bị gốc (OEM) đều tiến hành các cải biến riêng rẽ cho hệ điều hành này, nên các thiết bị của họ có thể chứa đựng một số lỗ hổng đặc trưng, không xuất hiện ở những sản phẩm của hãng khác.

Theo các nhà nghiên cứu Check Point, một trong hai lỗ hổng "chết người" có liên quan đến một dịch vụ độc quyền của LG, có tên gọi là LGATCMDService, sẵn có trên mọi smartphone của hãng. Do dịch vụ này không được bảo vệ bằng sự cho phép bắt buộc, bất kỳ ứng dụng nào, không kể nguồn gốc hay giấy phép, đều có thể kết nối với nó.

Điều đó cho phép các tin tặc kết nối với LGATCMDService và thực hiện nhiều tác vụ khác nhau, kể cả đọc và viết đè lên số IMEI cũng như địa chỉ MAC, reboot thiết bị, vô hiệu hóa kết nối USB, xóa bỏ thiết bị và thậm chí biến nó thành cục gạch hoàn toàn.

Lỗ hổng có ký hiệu CVE-2016-3117 này có giá trị lợi dụng cao đối với phần mềm gián điệp tống tiền ransomware. "Ransomware sẽ thấy đặc điểm này rất hữu ích và khai thác nó để khóa nhốt người dùng ngoài thiết bị và sau đó vô hiệu hóa khả năng truy nhập các file bằng cách kết nối thiết bị với một máy tính qua cổng USB", các nhà nghiên cứu Check Point giải thích.

Lỗ hổng thứ hai được phát hiện, ký hiệu CVE-2016-2035, có liên quan đến việc LG sử dụng WAP Push, một giao thức dành cho nhắn tin văn bản, có chứa đường link đến các website. Do ứng dụng WAP Push cùng cấp các tính năng cập nhật và xóa bỏ các tin nhắn văn bản, nên tin tặc có thể khai thác lỗ hổng này để xóa bỏ hoặc chỉnh sửa bất kỳ tin nhắn nào lưu trữ trong smartphone từ xa.

Các chuyên gia cảnh báo, tin tặc có thể lợi dụng điểm yếu nói trên để tiến hành đánh cắp dữ liệu cá nhân hoặc lừa phỉnh người sử dụng cài đặt một ứng dụng độc hại. Tin tặc cũng có thể thay đổi các thông điệp SMS chưa đọc của người dùng và đưa thêm một địa chỉ URL độc hại để tái điều hướng người dùng tới download một ứng dụng độc hại hoặc một trang web giả mạo để đánh cắp thông tin.

Check Point tuyên bố đã thông báo cho LG về hai lỗ hổng "chết người" và tập đoàn này cũng đã phát triển các giải pháp vá lỗi. Tuy nhiên, nếu bạn đang sở hữu một chiếc smartphone LG, để phòng rủi ro, bạn được khuyến nghị thực hiện các bước sau đây:

Kiểm tra các giải pháp vá lỗi mới nhất của LG để giảm trừ nguy cơ.

Kiểm tra cẩn thận mọi yêu cầu cài đặt ứng dụng trước khi chấp nhận để bảo đảm tính chính thống của nó.

Sử dụng một giải pháp bảo mật di động cá nhân để giám sát điện thoại của bạn trước bất kỳ hành vi độc hại nào.

Luôn xóa bỏ các đường link ngoài ý muốn/khả nghi được gửi tới bạn, dù từ bạn bè hay các thành viên trong gia đình.

Tuấn Anh (theo Securityweek, Techworm)