CÔNG NGHỆ

CÔNG NGHỆ

2 ứng dụng Android phổ biến có lỗ hổng nguy hiểm

04-05-2024 10:43:37
Theo Microsoft, một số ứng dụng Android phổ biến đang bị lỗ hổng Dirty Stream, cho phép hacker thực thi mã độc tùy ý.

Trong một báo cáo mới đây, nhà phân tích Dimitrios Valsamaras từ nhóm Microsoft Threat Intelligence đã chia sẻ về lỗ hổng Dirty Stream, cho phép tin tặc thực thi mã độc hại, đánh cắp token và kiểm soát hoàn toàn hành vi của ứng dụng. Tin tặc có thể sử dụng các token đánh cắp để truy cập trái phép vào tài khoản trực tuyến và dữ liệu cá nhân của nạn nhân.

Hai trong số các ứng dụng Android phổ biến bị dính lỗ hổng Dirty Stream, bao gồm:

Xiaomi File Manager (com.mi.Android.globalFileexplorer) đã được cài đặt hơn 1 tỉ lượt.

WPS Office (cn.wps.moffice_eng) đã được cài đặt hơn 500 triệu lượt.

Mặc dù Android thực hiện việc cách ly bằng cách chỉ định không gian bộ nhớ và dữ liệu riêng biệt cho mỗi ứng dụng, nhưng nó cung cấp content provider (nhà cung cấp nội dung) để tạo điều kiện chia sẻ dữ liệu và tệp giữa các ứng dụng một cách an toàn. Tuy nhiên, việc giám sát quá trình thực hiện có thể cho phép bỏ qua các hạn chế đọc/ghi trong thư mục chính của ứng dụng.

Theo Valsamaras, mô hình dựa trên nhà cung cấp nội dung này cung cấp cơ chế chia sẻ tệp được xác định rõ ràng, giúp ứng dụng chia sẻ tệp của mình với các ứng dụng khác một cách an toàn.

Tuy nhiên, chúng tôi thường xuyên phát hiện các ứng dụng tiêu thụ không xác thực nội dung của tệp mà chúng nhận được, và điều đáng lo ngại nhất là chúng sử dụng tên tệp do ứng dụng phục vụ cung cấp để lưu vào bộ đệm.

Các kịch bản tấn công khác nhau đều sử dụng lỗ hổng Dirty Stream. Ảnh: Microsoft

Hành động này có thể dẫn đến hậu quả nghiêm trọng. Nói cách khác, kẻ tấn công có thể tận dụng việc áp dụng tiêu thụ tin tưởng một cách mù quáng vào dữ liệu đầu vào để ghi đè tệp tin, thực thi mã tùy ý, đánh cắp thông tin nhạy cảm.

Sau khi được thông báo về vấn đề, cả Xiaomi và WPS Office đã đều đã sửa chữa sự cố từ tháng 2-2024. Tuy nhiên, Microsoft cảnh báo rằng lỗ hổng Dirty Stream có thể lan rộng hơn và yêu cầu các nhà phát triển kiểm tra ứng dụng Android của họ để phát hiện các vấn đề tương tự.

Google đã phát hành hướng dẫn riêng về vấn đề này, khuyến khích các nhà phát triển tuân thủ đúng cách đặt tên tệp mà máy chủ ứng dụng cung cấp.

Nếu bạn đang sử dụng 2 ứng dụng Android đó, bạn nên cập nhật chúng lên phiên bản mới nhất thông qua Google Play, đồng thời tránh cài đặt từ các file APK không tin cậy để giảm thiểu nguy cơ.

Cùng Chuyên Mục

Lý do Apple và Samsung keo kiệt về khả năng sạc nhanh
CÔNG NGHỆ
  • 5 tháng

Lý do Apple và Samsung keo kiệt về khả năng sạc nhanh

Trong thời đại công nghệ smartphone tiến bộ, cuộc tranh luận về công nghệ sạc nhanh giữa Apple và Samsung đang thu hút sự chú ý của đông đảo người dùng.

iPhone 15 sẽ ra mắt phiên bản màu đỏ Product RED
CÔNG NGHỆ
  • 5 tháng

iPhone 15 sẽ ra mắt phiên bản màu đỏ Product RED

Tổ chức RED đã đăng ảnh về một chiếc iPhone màu đỏ trên mạng xã hội X, khiến cho tin đồn về iPhone 15 màu đỏ bắt đầu xuất hiện.

5 ứng dụng dự báo thời tiết tiện lợi cho điện thoại di động
CÔNG NGHỆ
  • 5 tháng

5 ứng dụng dự báo thời tiết tiện lợi cho điện thoại di động

Để dự báo thời tiết chuẩn xác, bạn cần sử dụng những ứng dụng sau đây khi thời tiết chuẩn bị chuyển sang mùa mưa.

Giá điện thoại Nokia tháng 5/2024: Cao nhất 1,59 triệu đồng
CÔNG NGHỆ
  • 5 tháng

Giá điện thoại Nokia tháng 5/2024: Cao nhất 1,59 triệu đồng

Nokia 8210 4G có thiết kế mặt lưng và khung bằng nhựa polycarbonate, đa dạng màu sắc phong phú, phản ánh phong cách trẻ trung.

Úc đầu tư 2 tỷ đô la vào công nghệ sạch tại Đông Nam Á: Việt Nam nhận được lợi ích gì?
CÔNG NGHỆ
  • 5 tháng

Úc đầu tư 2 tỷ đô la vào công nghệ sạch tại Đông Nam Á: Việt Nam nhận được lợi ích gì?

Thủ tướng Úc Anthony Albanese đã hứa sẽ đầu tư 2 tỷ đô la Úc vào khu vực Đông Nam Á, với mục tiêu tập trung vào phát triển công nghệ sạch.

Giá GPU Nvidia H100 giảm trên thị trường chợ đen Trung Quốc
CÔNG NGHỆ
  • 5 tháng

Giá GPU Nvidia H100 giảm trên thị trường chợ đen Trung Quốc

Sự ra mắt của H200 là nguyên nhân chính khiến giá xe H100 giảm sút.

Hot Hôm Nay

"iPhone 17: Có thể không còn nút âm lượng? Khám phá thay đổi đáng chú ý này!"
5 ngày

"iPhone 17: Có thể không còn nút âm lượng? Khám phá thay đổi đáng chú ý này!"

"Khám Phá Garmin Lily 2 Active: Đồng Hồ Thời Trang Tích Hợp Nhiều Tính Năng Sức Khỏe, Giá Chỉ 7,4 Triệu Đồng"
3 ngày

"Khám Phá Garmin Lily 2 Active: Đồng Hồ Thời Trang Tích Hợp Nhiều Tính Năng Sức Khỏe, Giá Chỉ 7,4 Triệu Đồng"

Cảnh Báo: Cập Nhật Mới Có Thể Gây Hại Đến Điện Thoại Samsung Của Bạn!
3 ngày

Cảnh Báo: Cập Nhật Mới Có Thể Gây Hại Đến Điện Thoại Samsung Của Bạn!

"Samsung Sắp Tiến Hành Chuyển Biến Gây Chấn Động Với Galaxy AI Năm 2024"
6 ngày

"Samsung Sắp Tiến Hành Chuyển Biến Gây Chấn Động Với Galaxy AI Năm 2024"

"Khám Phá Những Sản Phẩm Mới Sắp Ra Mắt Của Apple Cuối Năm Này"
6 ngày

"Khám Phá Những Sản Phẩm Mới Sắp Ra Mắt Của Apple Cuối Năm Này"

"Meta Ra Mắt Kính Thực Tế Ảo Quest 3S Sản Xuất Tại Việt Nam: Bước Tiến Mới Trong Ngành Công Nghệ"
6 ngày

"Meta Ra Mắt Kính Thực Tế Ảo Quest 3S Sản Xuất Tại Việt Nam: Bước Tiến Mới Trong Ngành Công Nghệ"

"Khám Phá Realme GT 7 Pro: Pin Siêu Khủng 6.000 mAh và Công Nghệ Sạc Nhanh 100W Sắp Ra Mắt!"
5 ngày

"Khám Phá Realme GT 7 Pro: Pin Siêu Khủng 6.000 mAh và Công Nghệ Sạc Nhanh 100W Sắp Ra Mắt!"

"Cảnh báo từ Công An: Hãy cẩn trọng với yêu cầu từ shipper, hàng triệu người dân cần biết!"
5 ngày

"Cảnh báo từ Công An: Hãy cẩn trọng với yêu cầu từ shipper, hàng triệu người dân cần biết!"

"Top 5 Sản Phẩm Giúp Đại Lý Tăng Lợi Nhuận Hơn Cả Bán iPhone 16"
4 ngày

"Top 5 Sản Phẩm Giúp Đại Lý Tăng Lợi Nhuận Hơn Cả Bán iPhone 16"

Nâng Cấp Từ iPhone 14 Pro Lên iPhone 16 Pro: Có Nên Hay Không? Những Điều Cần Biết!
4 ngày

Nâng Cấp Từ iPhone 14 Pro Lên iPhone 16 Pro: Có Nên Hay Không? Những Điều Cần Biết!

Ad