Cảnh báo: Lỗ hổng nguy hiểm trên MEmu có thể khiến game thủ mất tài khoản game, lộ thông tin cá nhân

Mình là LamNguyen hiện đang là top global player của game World War Doh, vì một số vấn đề mình đang yêu cầu nhà phát triển game tạm thời khóa tài khoản của mình để đảm bảo an toàn cho tài khoản. Mình xin chia sẻ thông tin cụ thể để mọi người nắm rõ.

Do đang muốn streaming game nên mình tìm kiếm một phần mềm giả lập chạy tốt ứng dụng để không bị crash khi đang live steam, qua tìm hiểu mình biết được phần mềm MEmu có website: https://www.memuplay.com/ được phát triển bởi công ty phần mềm MICROVIRT từ năm 2015 cho đến nay đã hơn triệu người dùng, rất nhiều bạn hiện đang sử dụng MEmu để chơi hoặc streaming game. Chắc hẳn rất nhiều người đã biết đến phầm mềm giả lập này, nhiều trang mạng uy tín như VOZ, QUANTRIMANG cũng đã có review cho phần mềm này. Cho những ai đã biết, hoặc chưa biết thì nên đề phòng, có biện pháp bảo mật, bảo vệ tài khoản và thông tin cá nhân của mình.

Lỗ hổng nghiêm trọng trên MEmu

Một số phiên bản mới của phần mềm MEmu (tải trực tiếp từ trang web của phần mềm không qua bên thứ 3) có lỗ hổng bảo mật hết sức khủng khiếp. Bằng một cách nào đó nhà phát triển cho tất cả người dùng gần như sử dụng chung trên một hệ thống ảo hóa (có thể tùy từng cụm máy chủ, ví dụ: những người dùng ở máy chủ Châu Á sẽ dùng chung hệ thống ảo hóa duy nhất cho Châu Á, Châu Âu dùng chung với Châu Âu v.v...). Điều này có nghĩa là tất cả mọi người ở server đó sẽ lưu chung và dùng chung dữ liệu trên một máy ảo duy nhất. Và người này có thể sử dụng thông tin, tài khoản của người khác và ngược lại. Khác với Bluestack hoặc Nox mỗi người sẽ tạo riêng 1 máy ảo theo thông số đĩa cứng, hoặc thông số thiết bị của người dùng.

Điều này cực kỳ nguy hiểm

Như đã trình bày ở trên, sau khi dùng thử phần mềm MEmu để chạy giả lập và streaming game, đúng kết quả rất mượt và không còn bị crash. Tuy nhiên, sau 1 đêm ngủ dậy, vào game thì tài khoản game của mình liên tục bị kick out và nhận thông báo đang được đăng nhập trên thiết bị khác.

Ban đầu mình nghĩ là bị hack tuy nhiên game mình chơi không có hệ thống đăng nhập bằng id mật khẩu, chỉ sử dụng hình thức chơi ngay (nghĩa là tài khoản lưu trực tiếp trên thiết bị) hoặc Sync qua Facebook. Như vậy, nếu bị hack thì một là người đó dùng được điện thoại của mình và 2 là kiểm soát được Facebook của mình. 2 điều này hầu như không thể, nên mình nghĩ ngay đến MEmu và chính xác là nó.

Mình đã thử một vài phép thử (cũng như vừa cố gắng relog tài khoản game trên thiết bị để kick out người dùng khác ra, cũng vừa cố gắng liên hệ với nhà phát hành game, khổ nỗi nhà phát hành game ở Mỹ trái ngược múi giờ với Việt Nam):

1. Xóa MEmu đi cài lại, vào lại game tài khoản game của mình vẫn nằm đó sau nhiều lần xóa tận gốc rồi cài lại, mình nghĩ ngay đến việc tài khoản của mình đã lưu trên MEmu bất cứ ai dùng MEmu tải game mình đang chơi đều sync trực tiếp và dùng tài khoản của mình, thoạt nghĩ điều này là không thể mình đã làm thêm một số thử nghiệm khác.

2. Mình thử một số game khác như Boombeach, Smashing Four, Clash castle, Archero, Boxing star... Tất cả những game này đều đang có tài khoản người dùng kẹt với MEmu và bị sử dụng chung với nhiều người khác. Lạ hơn ở game Smashing Four có 1 tài khoản khá VIP bị kẹt ở đó và mình chỉ vô tình liên kết với tài khoản Google của mình ai ngờ thành công, và hiện có thể log được cả trên Mobile của mình.

Đến đây mọi người đã thấy nguy hiểm như thế nào chưa. Lỗ hổng này trên phần mềm giả lập MEmo đã tạo ra một chiếc bẫy khổng lồ, khiến kẻ xấu có thể khai thác, sử dụng thông tin, tài khoản của người dùng MEmu một cách hợp lệ dưới mác một ứng dụng giả lập có tên tuổi, và càng nguy hiểm hơn khi tất cả mọi người lại sử dụng chung tài khoản với nhau.

Đừng bất ngờ khi bỗng nhiên tài khoản game (thứ mà bạn giành nhiều thời gian cả tiền bạc để giải trí) hoặc tài khoản Facebook, Google chứa nhiều thông tin cá nhân, thông tin ngân hàng của bạn đột nhiên bị đánh cắp và sử dụng một cách dễ dàng như vậy.

Cập nhật MEmu lên bản mới nhất để sửa lỗi

Dĩ nhiên mình đã liên hệ trao đổi trực tiếp với nhà phát hành MEmu thông qua Discord. Hiện họ cho biết đã phát hành bản cập nhật mới để giải quyết vấn đề này, nhưng những ai đang dùng phiên bản cũ vẫn có thể bị sử dụng chung tài khoản với nhau.

Mình đã cố gắng liên hệ với nhà phát hành game để tạm khóa tài khoản của mình (vì như trình bày game mình mới release hệ thống đăng nhập không sử dụng hình thức tài khoản mật khẩu, mà lưu trực tiếp trên thiết bị hoặc Sync qua mạng xã hội) họ đang cố gắng hỗ trợ mình.

Về phía MEmu chưa có thông tin xin lỗi chính thức đến mình và người dùng, họ vẫn đang liên lạc với mình và hứa sẽ cố gắng khắc phục.

Dưới đây là toàn bộ đoạn trao đổi giữa mình và bên MEmu trên Discord.

Những ai đang dùng hoặc đã dùng MEmu hãy đọc bài viết và chia sẻ để mọi người biết đến đồng thời nâng cao bảo mật cho hệ thống tài khoản cá nhân cũng như TK game mình đang dùng tránh gặp tình trạng tương tự!

Mình cam đoan nội dung bài viết là chính xác và cam kết chịu trách nhiệm nếu có vấn đề xảy ra.