12 ứng dụng Android dính lỗ hổng bảo mật, người dùng nên cập nhật ngay

Công ty bảo mật di động Oversecured đã đăng tải bài viết tiết lộ về các lỗ hổng bảo mật đã được phát hiện trong các ứng dụng Android và thành phần hệ thống trên điện thoại Xiaomi, cho phép kẻ gian truy cập vào các hoạt động, dịch vụ tùy ý với đặc quyền hệ thống, đánh cắp tệp…

12 ứng dụng Android bị ảnh hưởng bởi các lỗ hổng bảo mật, bao gồm:

• Gallery (com.miui.gallery)
• GetApps (com.xiaomi.mipicks)
• Mi Video (com.miui.videoplayer)
• MIUI Bluetooth (com.xiaomi.bluetooth)
• Phone Services (com.android.phone)
• Print Spooler (com.android.printspooler)
• Security (com.miui.securitycenter)
• Security Core Component (com.miui.securitycore)
• Settings (com.android.settings)
• ShareMe (com.xiaomi.midrop)
• System Tracing (com.android.traceur), and
• Xiaomi Cloud (com.miui.cloudservice)

Các nhà nghiên cứu cho biết, một số lỗi đáng chú ý được phát hiện trong 12 ứng dụng này bao gồm các lỗi trong ứng dụng Settings có thể cho phép kẻ gian đánh cắp các tệp tùy ý cũng như rò rỉ thông tin về thiết bị Bluetooth, mạng WiFi được kết nối và danh bạ khẩn cấp; lỗi chèn lệnh shell ảnh hưởng đến ứng dụng System Tracing.

Nguyên nhân gây ra lỗ hổng được cho là do nhà sản xuất điện thoại Trung Quốc sửa đổi các thành phần hợp pháp từ Dự án mã nguồn mở Android (AOSP) gồm Phone Services, Print Spooler, Settings và System Tracing.

Ngoài ra, các nhà nghiên cứu cũng phát hiện một lỗ hổng hỏng bộ nhớ, bắt nguồn từ một thư viện Android có tên LiveEventBus ảnh hưởng đến ứng dụng GetApps. Phía Oversecured đã báo cáo cho những người bảo trì dự án về lỗ hổng này hơn một năm trước nhưng đến nay vẫn chưa được vá.

Oversecured cho biết các vấn đề đã được báo cáo cho Xiaomi từ ngày 25-4 và khuyến cáo người dùng điện thoại Xiaomi nên cập nhật lên bản mới nhất để giảm thiểu các mối đe dọa tiềm ẩn.

13 ứng dụng phổ biến dính lỗ hổng bảo mật nghiêm trọng, người dùng cần cập nhật ngay

Apple và The Citizen Lab vừa phát hiện ra một lỗ hổng bảo mật nghiêm trọng, ảnh hưởng đến hàng loạt ứng dụng phổ biến và hàng triệu người dùng Internet.

Lỗ hổng bảo mật được phát hiện có tên mã CVE-2023-4863 liên quan đến tràn bộ đệm heap trong WebP do các chương trình, ứng dụng không quản lý tốt bộ nhớ và cho phép ghi đè dữ liệu hệ thống quan trọng.

Nếu tin tặc khai thác thành công lỗ hổng có thể chiếm quyền kiểm soát hệ thống từ xa, khởi động các cuộc tấn công quy mô lớn hơn.

Đây là một lỗ hổng lớn bởi trên thực tế, mọi chương trình phần mềm hoặc ứng dụng sử dụng libwebp để hiển thị hình ảnh WebP đều tồn tại sự cố.

Lỗ hổng ảnh hưởng đến hàng loạt ứng dụng phổ biến và các phần mềm OTT như Google Chrome, Mozilla Firefox, Microsoft Edge, Affinity, Gimp, Inkscape, LibreOffice, Thunderbird, ffmpeg, Honeyview, Telegram, Signal và 1Password.

Ngoài ra, sự tồn tại của lỗ hổng WebP còn tồn tại trên rất nhiều ứng dụng Android cũng như các ứng dụng đa nền tảng được xây dựng bằng Flutter.

Google đã xác nhận sự tồn tại của lỗ hổng WebP và đã phát hành khẩn cấp bản cập nhật Google Chrome 116 để vá.

Các chuyên gia khuyến nghị, người dùng nếu đang sử dụng bất kỳ ứng dụng nào được đề cập trong bài viết này, nên cập nhật phần mềm lên phiên bản mới nhất ngay lập tức để giữ cho thiết bị của bạn an toàn hơn.

Nhóm Kiến trúc và Kỹ thuật Bảo mật của Apple (SEAR) đã phát hiện và báo cáo lỗ hổng WebP khi cộng tác với The Citizen Lab vào ngày 6 tháng 9 năm 2023.