Android Authority dẫn báo cáo từ công ty bảo mật CheckPoint cho biết, hàng triệu người dùng Android đang có nguy cơ đối mặt với nguy hiểm nhưng không hay biết.
Cụ thể, báo cáo từ công ty bảo mật CheckPoint chỉ ra rằng, hacker có thể lợi dụng lỗ hổng để phát một tệp âm thanh chứa mã độc và thực thi mã từ xa, từ đó giành quyền kiểm soát dữ liệu đa phương tiện trên thiết bị. Phương thức này thậm chí còn cho phép hacker có thể truyền trực tiếp dữ liệu từ camera của người dùng.
Lỗ hổng này xuất phát từ định dạng âm thanh có tên ALAC (Apple Lossless Audio Codec), do Apple phát triển từ năm 2004. Đến 2011, định dạng này đã được chuyển sang mã nguồn mở, cho phép các nhà sản xuất khác cũng có thể sử dụng.
Nhiều nhà sản xuất chip di động, bao gồm cả Qualcomm và MediaTek cũng sử dụng mã nguồn từ ALAC cho bộ giải mã âm thanh trên chip của mình.
Điều này đồng nghĩa, smartphone dùng chip Qualcomm và MediaTek có thể bị tấn công thực thi mã từ xa (RCE) dựa trên việc khai thác lỗ hổng liên quan đến định dạng ALAC.
Theo Android Authority, RCE được coi là phương thức tấn công nguy hiểm nhất vì nó không yêu cầu quyền truy cập vật lý vào thiết bị và có thể được thực hiện từ xa.
Khoảng 2/3 số smartphone được bán ra trong năm 2021 có thể gặp rủi ro do lỗ hổng bảo mật này
"MediaTek và Qualcomm sử dụng codec âm thanh ALAC trong nhiều thiết bị smartphone, điều đó khiến hàng triệu người dùng Android có thể gặp rủi ro về quyền riêng tư", báo cáo của CheckPoint cho biết.
Theo CheckPoint, khoảng 2/3 số smartphone được bán ra trong năm 2021 có thể gặp rủi ro do lỗ hổng bảo mật này.
Qualcomm và MediaTek cho biết đã tung ra bản vá cho lỗ hổng này từ tháng 12/2021. Để tránh bị hacker tấn công từ lỗ hổng bảo mật này, người dùng thiết bị Android được khuyến cáo cập nhật ngay phần mềm lên phiên bản mới nhất.
Người dùng thiết bị Android được khuyến cáo cập nhật ngay phần mềm lên phiên bản mới nhất
Ngoài ra, "nếu nhận được các tệp âm thanh từ nguồn không xác định, tốt nhất không nên mở chúng để tránh trở thành nạn nhân của một vụ tấn công từ xa", theo BleepingComputer.