Khoảng 45% các thiết bị Android có một trình duyệt dễ bị tổn thương với hai lỗ hổng an ninh nghiêm trọng, một số quốc gia có tỷ lệ người dùng bị ảnh hưởng lớn hơn đáng kể so với những quốc gia khác, theo số liệu từ công ty bảo mật di động Lookout.
Hai lỗ hổng an ninh đã được phát hiện trong tháng qua bởi một nhà nghiên cứu bảo mật tên là Rafay Baloch và được mô tả là một thảm họa bảo mật bởi các nhà nghiên cứu khác. Lỗ hổng cho phép kẻ tấn công để vượt qua một ranh giới an ninh cốt lõi, được gọi là chính sách cùng nguồn gốc (SOP), tồn tại trong tất cả các trình duyệt.
SOP ngăn chặn các đoạn mã từ một tên miền không tương tác với dữ liệu từ một tên miền khác. Ví dụ, đoạn mã chạy trên một trang được lưu trữ trên tên miền của A sẽ không thể tương tác với các nội dung được tải trên cùng một trang từ tên miền B.
Trình duyệt Android mặc định có nguy cơ tấn công
Nếu không có chính sách hạn chế đó, những kẻ tấn công có thể tạo ra các trang để tải Facebook, Gmail hoặc một số trang web nhạy cảm khác trong một khung ẩn và sau đó lừa người dùng truy cập vào các trang này để chiếm quyền điều khiển của họ và đọc thư điện tử của họ hoặc gửi tin nhắn Facebook.
Các lỗ hổng SOP được tìm thấy bởi Baloch ảnh hưởng đến các phiên bản Android cũ hơn Android 4.4, mà theo số liệu của Google được cài đặt trên 75% các thiết bị Android ghé thăm Google Play Store. Android 4.4 không phải dễ bị tổn thương bởi vì nó sử dụng Google Chrome là trình duyệt mặc định thay vì các trình duyệt cũ Android Open Source (AOSP).
Google đã phát hành các bản vá lỗi cho hai lỗ hổng bảo mật thông qua AOSP cho các nhà sản xuất. Nhiệm vụ bây giờ của các nhà cung cấp thiết bị là chỉnh sửa những bản vá lỗi và phát hành bản cập nhật firmware cho người dùng cuối.
Theo Lookout, 80% người sử dụng ở Nhật Bản cài đặt một phiên bản của trình duyệt AOSP dễ bị tổn thương so với chỉ có 34% người dùng ở Mỹ. Tại Tây Ban Nha là 73% người sử dụng có khả năng bị ảnh hưởng, trong khi ở Anh là 51%.
Lưu ý rằng trong trường hợp này không có nghĩa là một người sử dụng điện thoại Android có nguy cơ đối với trình duyệt đang sử dụng. Người dùng Android có thể cài đặt và sử dụng Chrome, Firefox hoặc một số trình duyệt không dễ bị tổn thương khác thay vì trình duyệt AOSP cài đặt sẵn.
Theo CIO
Thêm bình luận