Hàng triệu điện thoại thông minh Xiaomi có thể bị tấn công

Các điện thoại Xiaomi với hệ điều hành MIUI OS đứng trước nguy cơ có thể bị tấn công để trở thành nhân vật tham gia vào các cuộc tấn công khác (MitM – Man-in-the-Middle), dựa trên một đoạn mã kích hoạt từ xa. Các nhà nghiên cứu đã phát hiện và báo cáo lỗ hổng nghiêm trọng này tới Xiaomi trong đầu năm nay, và giờ lỗ hổng đã được vá.

1

Lỗ hổng trên có thể khiến cho kẻ tấn công chiếm hoàn toàn quyền điều khiển chiếc điện thoại đã bị lây nhiễm. Không chỉ trên các điện thoại Xiaomi, các điện thoại khác sử dụng bản ROM MIUI tương tự như của Xiaomi cũng có nguy cơ lây nhiễm, bởi đây là lỗ hổng của hệ điều hành chứ không phải đến từ phần cứng.

IBM phát hiện những lỗi nghiêm trọng trên hệ điều hành Xiaomi MIUI

Nhà nghiên cứu David Kaplan của IBM X-Force cho biết, lỗ hổng này có thể khiến kẻ tấn công có được quyền truy cập mạng, từ đó cài đặt malware lên thiết bị. Lỗ hổng này hiện diện trong các gói phân tích tồn tại cùng với các ứng dụng khác khi đi cùng MIUI. Tất cả các ứng dụng trong bản ROM MIUI Developer 6.1.8, bao gồm cả trình duyệt mặc định đều dễ bị điều khiển bằng các đoạn mã từ xa để tham gia các cuộc tấn công khác.

Các nhà nghiên cứu cảnh báo: xác ứng dụng này cho phép nhiều khả năng và quyền truy cập khác nhau. Những ứng dụng nhạy cảm có thể bị lợi dụng để cập nhật ROM từ xa, hay cho phép nó chạy với quyền cao hơn. Những cập nhật này được thực hiện thông qua giao thức Http kém bảo mật, thay vì Https bảo mật tốt hơn, khiến cho thiết bị dễ bị lợi dụng.

IBM đã thông báo cho Xiaomi từ hồi tháng 1 năm nay, và hiện giờ lỗ hổng đã được vá lại. Xiaomi đã gửi bản cập nhật từ động cho các thiết bị trên toàn thế giới. Tất cả người dùng đều được đề nghị cập nhật phần mềm lên bản MIUI Global Stable 7.2 dựa trên Android 6.0, đây là bản đã được sửa lỗi và hoàn thiện.