Cả tỷ smartphone Android đang gặp nguy hiểm

Hơn 400 lỗ hổng trên chip xử lý Snapdragon khiến hơn một tỷ smartphone Android có nguy cơ bị tin tặc đánh cắp dữ liệu.

Được phát hiện bởi các nhà nghiên cứu hãng bảo mật Check Point, tin tặc có thể khai thác lỗ hổng bằng cách dụ nạn nhân tải xuống video, nội dung cần hiển thị bởi chip xử lý, hoặc cài ứng dụng độc hại lên thiết bị.

Từ đó, tin tặc có thể theo dõi vị trí thiết bị, nghe lén âm thanh xung quanh, đánh cắp hình ảnh/video lưu trên máy hoặc khiến điện thoại bị treo. Mã độc hoạt động tinh vi nên rất khó phát hiện.

Hơn một tỷ smartphone Android có nguy cơ bị tin tặc đánh cắp dữ liệu. Ảnh: Android Authority.

Snapdragon là loại SoC (System on Chip) chứa các thành phần như vi xử lý (CPU), bộ xử lý đồ họa (GPU) và bộ xử lý tín hiệu số (DSP).

DSP phục vụ các tính năng như sạc pin, xử lý nội dung video, âm thanh, thực tế tăng cường (AR)… Các nhà sản xuất smartphone còn sử dụng DSP để chạy ứng dụng chuyên biệt phục vụ các tính năng độc quyền.

Các nhà nghiên cứu từ Check Point cho biết tuy tích hợp DSP lên chip xử lý là giải pháp kinh tế, chúng mang đến nhiều rủi ro bảo mật cho thiết bị. Việc quản lý DSP cũng rất phức tạp, hầu như chỉ có thể thực hiện bởi nhà sản xuất.

Qualcomm đã tung ra bản vá cho lỗ hổng, tuy nhiên nó vẫn chưa được tích hợp sẵn lên hệ điều hành Android hay những thiết bị sử dụng chip xử lý Snapdragon. Đồng nghĩa những ai không biết đến thông tin này để cập nhật thiết bị, họ đều có thể là nạn nhân.

Đại diện Google cho biết họ cần làm việc với Qualcomm để biết thêm thông tin.

Người dùng cần cập nhật phần mềm mới nhất, chỉ tải ứng dụng từ nguồn chính thống để tránh nguy cơ dính mã độc. Ảnh: Android Authority.

Chi tiết về đặc tính kỹ thuật, cách khai thác lỗ hổng đang được Check Point lưu giữ, được gọi chung là Achilles với tên gọi cho từng lỗi là CVE-2020-11201, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207, CVE-2020-11208, CVE-2020-11209….

Đại diện Qualcomm cũng xác nhận sự tồn tại của các lỗ hổng, nhưng chưa tìm ra bằng chứng cho thấy chúng đã bị khai thác. Người dùng cần cập nhật thiết bị ngay khi bản vá được phát hành, chỉ cài đặt ứng dụng từ các nguồn chính thống như Play Store.

Theo thống kê của Check Point, chip xử lý Snapdragon được sử dụng trên khoảng 40% điện thoại trên thế giới. Với 3 tỷ smartphone Android đang hoạt động, các lỗ hổng ảnh hưởng đến hơn một tỷ thiết bị.