Android hiện là hệ điều hành di động phổ biến nhất trên thế giới. Một tỷ thiết bị đã được xuất xưởng trong năm 2014 (nhiều hơn 800 triệu so với Apple ở vị trí thứ hai) và nó kiểm soát 82% thị trường.
Đó là một tin tuyệt vời đối với Google, nhưng cũng có nghĩa là thật tai hại khi lỗi và lỗ hổng được tìm thấy - các vấn đề có thể ảnh hưởng đến một phần trăm dân số lớn trên hành tinh.
Thật không may, một lỗ hổng bảo mật mới của Android đã được tìm thấy vào đầu tuần này bởi các nhà nghiên cứu tại Đại học Texas.
Chúng tôi xem xét nó là gì và bạn có thể làm gì với nó.
Vấn đề là gì?
Điện thoại Android hiện đại có ba cách để bảo vệ màn hình khóa của nó; mã PIN, hình mở khóa hoặc mật khẩu. Lỗ hổng mới liên quan đến những người dùng chọn sử dụng mật khẩu.
Các nhà nghiên cứu giải thích lỗ hổng trong một bài đăng trên trang web của trường đại học, nói rằng " Bằng cách thao túng một chuỗi đủ lớn trong trường mật khẩu khi ứng dụng máy ảnh hoạt động, kẻ tấn công có thể làm mất ổn định màn hình khóa, khiến nó bị hỏng vào màn hình chính ".
Trên thực tế, điều đó có nghĩa là một tin tặc có thể có quyền truy cập vào điện thoại, danh bạ, thông tin ứng dụng riêng tư, không gian lưu trữ đám mây và nhiều dữ liệu cá nhân khác của bạn, tất cả mà không cần thực hiện bất kỳ thủ thuật back-end thông minh nào. Ngay cả một người am hiểu công nghệ bình thường tìm thấy một chiếc điện thoại bị mất trên đường phố cũng có thể đột nhập.
Hack hoạt động bằng cách nhập một loạt ký tự ngẫu nhiên vào bàn phím quay số "Cuộc gọi khẩn cấp" của điện thoại, sau đó nhấn liên tục nút "Chụp ảnh" của máy ảnh. Nó sẽ khiến màn hình khóa không thành công và cuối cùng điện thoại sẽ tự khởi động lại màn hình chính của người dùng.
Khi đó, tin tặc sẽ có toàn quyền truy cập vào thiết bị, bất kể hệ thống tệp có được mã hóa hay không - điều đó có nghĩa là họ thậm chí có thể cho phép nhà phát triển truy cập vào thiết bị.
Bạn có thể xem bản hack được trình diễn trong video dưới đây:
Bạn có gặp rủi ro không?
May mắn thay, lỗ hổng này không xuất hiện trên mọi phiên bản Android - bạn sẽ chỉ bị ảnh hưởng nếu bạn có thiết bị Android Lollipop đang chạy phiên bản 5.0 đến 5.1.1.
Như đã đề cập, bản hack cũng chỉ hoạt động nếu bạn đang sử dụng bảo vệ bằng mật khẩu. Những người sử dụng số hoặc mẫu mã PIN đều an toàn.
Trong khi hai tiêu chí đó chắc chắn hạn chế số lượng người bị ảnh hưởng, một tác dụng phụ là nó có thể nhắm đến những người dùng có ý thức bảo mật nhất - những người tin rằng mật khẩu dài an toàn hơn mã PIN hoặc hình mở khóa. Trong những trường hợp bình thường, chúng đúng, nhưng lỗ hổng này chứng tỏ rằng không có gì an toàn như bạn nghĩ.
Bạn có thể làm gì?
Điều quan trọng nhất là bảo vệ màn hình khóa của bạn càng sớm càng tốt.
Lỗ hổng bảo mật đã được sửa trong bản dựng LMY48M Android 5.1.1 được Google phát hành vào tuần trước. Hiện tại, nó chỉ khả dụng cho Nexus 4, 5, 6, 7, 9 và 10.
Mặc dù nó có sẵn, một số người dùng đã báo cáo rằng họ vẫn chưa nhận được bản cập nhật qua mạng. Nếu đúng như vậy, bạn có thể truy cập trực tiếp vào googlesource.com và tải xuống bản dựng mới theo cách thủ công.
Nếu bạn không sở hữu Nexus hoặc bạn chưa nhận được bản cập nhật qua mạng, ít nhất bạn nên thay đổi thông tin đăng nhập màn hình khóa của mình thành số PIN.
Tại sao bạn nên chọn mã PIN thay vì một mẫu?
Các mẫu khóa Android (ALP) đã có từ năm 2008 và được rất nhiều người sử dụng, nhưng một nhà nghiên cứu gần đây đã gợi ý rằng chúng không an toàn hơn những mật khẩu quá rõ ràng như "password", "12345678" và " qwertyuiop ".
Nhà nghiên cứu được đề cập là Marte Løge, tốt nghiệp năm 2015 từ Đại học Khoa học và Công nghệ Na Uy. Cô phát hiện ra rằng 44% ALP đáng kinh ngạc bắt đầu ở góc trên cùng bên trái và 77% voi ma mút bắt đầu ở một trong bốn góc.
Cô cũng nhận thấy rằng hầu hết các ALP chỉ chứa năm "nút", mặc dù người dùng được phép chọn tối đa chín. Điều này có nghĩa là số lượng kết hợp có thể có đã giảm từ 389.112 xuống chỉ còn 7.152. Nếu một ALP chỉ chứa bốn nút, thì con số này thậm chí còn giảm xuống chỉ còn 1,624.
Cô nói:“Con người có thể đoán trước được. "Chúng tôi thấy các khía cạnh được sử dụng khi tạo khóa hình giống như các khía cạnh được sử dụng trong mã PIN và mật khẩu chữ và số."
Nếu bạn khăng khăng sử dụng ALP, bạn cần đảm bảo rằng bạn giữ cho mẫu của mình phức tạp và bạn nên tránh tạo lại tên viết tắt của những người thân yêu hoặc vật nuôi. Nghiên cứu của cô khẳng định rằng bằng cách sử dụng những chữ cái đầu như vậy, những kẻ tấn công sẽ có cơ hội 1/10 đoán ALP trong vòng 100 lần đoán.
Hãy xem một số ALP phổ biến nhất trong hình ảnh bên dưới, nếu bạn đang sử dụng một trong số chúng, bạn nên thay đổi nó ngay lập tức.
Chọn mã PIN hợp lý
Điều đó có nghĩa là cách an toàn nhất để bảo mật thiết bị Android của bạn là sử dụng mã PIN, nhưng vẫn có một số nguyên tắc bảo mật cơ bản mà bạn nên tuân thủ.
Ví dụ:hãy đảm bảo rằng bạn sử dụng mã khác mà bạn sử dụng cho thẻ ngân hàng của mình hoặc bất kỳ thông tin đăng nhập nào khác yêu cầu mã PIN. Tương tự như việc sử dụng cùng một mật khẩu cho tất cả các tài khoản trực tuyến của bạn sẽ làm tăng tính dễ bị tổn thương, việc sử dụng cùng một mã PIN nhiều lần sẽ làm giảm hiệu quả của hệ thống với mỗi lần sao chép. Ngoài ra, hãy tránh những ngày kỷ niệm, sinh nhật và những con số lặp lại.
Microsoft cũng tham gia vào ý tưởng này; gần đây họ đã khuyến nghị người dùng Windows 10 nên sử dụng mã PIN để đăng nhập vào máy của họ. Biểu trưng của họ là trong khi mật khẩu bị bẻ khóa sẽ cung cấp cho tin tặc quyền truy cập vào toàn bộ Tài khoản Microsoft của bạn, mã PIN bị bẻ khóa sẽ chỉ cho phép họ sử dụng toàn bộ thiết bị cá nhân đó.
Bạn đã tự bảo vệ mình chưa?
Bạn có phải là một trong những người dùng dễ bị tấn công? Bạn đã thực hiện những bước nào để bảo vệ mình?
Vi phạm này có khiến bạn lo lắng về sự an toàn của Android không? Có những vi phạm nào khác ngoài đó? Do sự phân mảnh của hệ điều hành, chắc chắn có những hệ điều hành khác đang chờ được khám phá.
Có lẽ bạn đã tìm thấy một số phương pháp ủy quyền mới lạ hoặc độc đáo khác?
Như mọi khi, chúng tôi rất muốn nhận được phản hồi từ bạn. Bạn có thể cho chúng tôi biết suy nghĩ và ý kiến của bạn trong phần nhận xét bên dưới.