Lỗ hổng bảo mật này được phát hiện trên cả ba hệ điều hành Android, Windows Phone và iOS. Đây là vấn đề đáng lo ngại trên toàn cầu khi mà số lượng người dùng smartphone trên thế giớ là rất đông đảo và tăng theo từng ngày và từng giờ.
- Gmail bị hack cần làm gì để lấy lại?
- Lấy lại mật khẩu Gmail trên điện thoại
- Cách đăng nhập Gmail trên điện thoại Android
- Bản cập nhật Chrome trên Android giúp chống lại các vụ hack chip qua Spectre
- Tổng hợp các cách vào Gmail trên điện thoại
Các nhà nghiên cứu tại Đại học California và Đại học Michigan (Mỹ) đã tìm ra lỗ hổng trên các hệ điều hành di động (Android, Windows Phone, iOS) cho phép các ứng dụng độc hại thu thập thông tin cá nhân của người dùng với tỷ lệ thành công từ 82 - 92%.
Dù mới tiến hành thử nghiệm trên điện thoại Android nhưng nhóm nghiên cứu tin rằng phương pháp tấn công này có thể áp dụng trên cả 3 hệ điều hành do có cùng một tính năng: các ứng dụng đã cài đặt đều có thể truy cập bộ nhớ của thiết bị di động.
Đầu tiên người dùng sẽ tải về một tài liệu "hiền lành" nhưng chứa mã độc như hình nền, file nhạc, ứng dụng. Sau khi tải về máy, các chuyên gia bảo mật sẽ sử dụng tài liệu này để truy cập số liệu thống kê trong bộ nhớ chia sẻ của một ứng dụng bất kỳ có trong máy.
Sau đó các nhà nghiên cứu sẽ theo dõi những thay đổi trong bộ nhớ máy và thực hiện nhiều hoạt động ngầm trên smartphone, chẳng hạn như đăng nhập vào Gmail, H&R Block, chụp ảnh phiếu thanh toán online qua Chase Bank... Đây là ba ứng dụng dễ bị tổn thương nhất, tỉ lệ tấn công thành công trên ba ứng dụng này nằm trong khoảng 82-92%. Với một vài thao tác khác, nhóm nghiên cứu có thể theo dõi chính xác những gì người dùng đang làm trên smartphone trong thời gian thực.
Có hai điều kiện cần để tăng tỷ lệ tấn công thành công: thứ nhất, cuộc tấn công phải diễn ra đúng vào thời điểm mà người dùng thực hiện thao tác trên ứng dụng; thứ hai, cuộc tấn công phải tiến hành bí mật để người dùng không nhận ra. Vì thế nhóm nghiên cứu đã phải chọn thời gian tấn công rất cẩn thận.
"Chúng tôi biết thời điểm người dùng truy cập vào ứng dụng ngân hàng. Khi họ đăng nhập, chúng tôi cung cấp cho họ một màn hình đăng nhập giả giống hệt màn hình thật", tiến sỹ Alfred Qi Chen của Đại học Michigan cho biết. "Mọi thứ diễn ra liên tục vì chúng tôi nắm được lịch trình cụ thể".
Nhóm nghiên cứu sẽ trình bày kết quả nghiên cứu này tại hội nghị an ninh USENIX diễn ra ở San Diego (Mỹ) vào ngày 23/8 tới. Bạn đọc có thể một số video mô phỏng quá trình tấn công smartphone ở trên.