Nhiều bản vá lỗi bảo mật đang được triển khai cho người dùng Android sau khi các nhà nghiên cứu bảo mật tìm thấy một lỗ hổng trong dịch vụ media server trên Android.
Tuy nhiên, Google đã vá thêm một lỗi bảo mật ảnh hưởng đến các phiên bản Android 2.3 đến 5.1.1.
Lỗ hổng này (có khả năng được sửa trong bản cập nhật bảo mật tháng tới dành cho các thiết bị Nexus của Google) cho phép kẻ tấn công lợi dụng chương trình media server trên Android để theo dõi thiết bị.
Nó đã góp phần làm gia tăng thêm các lỗ hổng bắt nguồn từ thành phần Android – gốc rễ của 1 trong 7 lỗi tìm thấy ở thư viện media Stagefright. Stagefright đã thúc đẩy các nhà sản xuất thiết bị gốc làm việc với các hãng di động thực hiện quy trình đảm bảo cho người dùng cuối nhận được các bản cập nhật bảo mật đáng tin cậy có chu kì vá lỗi hàng tháng.
Wish Wu, nhà nghiên cứu bảo mật tại Trend Micro cho biết, Google đã thêm bản vá lỗi mới nhất là CVE-2015-382 vào mã của dự án Android Open Source Project (AOSP) vào đầu tháng 8.
Không như Stagefright có thể bị khai thác đơn giản bằng việc gửi file media độc hại đến các thiết bị Android, với trường hợp này tin tặc lừa nạn nhân cài đặt một ứng dụng độc hại.
“Kẻ tấn công có thể chạy mã với các điều khoản tương tự với chương trình mediaserver như cách thức hoạt động lâu nay của nó”, Wu nói thêm. “Vì thành phần của mediaserver thực hiện nhiều nhiệm vụ liên quan đến media bao gồm chụp ảnh, đọc file MP4 và ghi video nên sự riêng tư của nạn nhân có thể bị xâm phạm”.
Trend Micro cũng đã tiết lộ một lỗ hổng có mức độ ít nghiêm trọng hơn vào đầu tháng này, nó tận dụng mediaserver để khóa thiết bị trong vòng khởi động vô tận.
Bảo mật Android và việc phân phát các bản cập nhật đã bắt đầu được chú ý hơn kể từ khi lỗi Stagefright được phát hiện.
Mặc dù đã phân phát bản vá lỗ hổng này vào ngày 5/8 nhưng Google mới đây cũng thừa nhận rằng việc sửa chữa không hoàn toàn khắc phục được hết, và công ty sẽ phát hành một bản cập nhật khác vào tháng 9 để giải quyết vấn đề.
Tuy nhiên, lỗ hổng này đã khiến các nhà khai thác và sản xuất di động cập nhật các thiết bị đã một thời gian chưa được cập nhật. Verizon cũng vừa tung ra bản cập nhật cho Samsung Galaxy S4 Verizon. Hãng này đã từng không có bất kỳ bản cập nhật tính năng nào ngoài bản vá cho Stagefright.
TUẤN AN