Tại cuộc thi dành cho hacker Mobile Pwn2Own diễn ra ở Hà Lan, một nhóm hacker của hãng MWR Labs đã hack thành công chiếc điện thoại Galaxy SIII thông qua kết nối NFC chỉ bằng cách chạm nhẹ 2 máy vào nhau. Đây là điều mà người ta luôn lo sợ kể từ khi NFC trở nên phổ biến do nó không đòi hỏi trình tự xác nhận, chỉ cần chạm 2 máy vào nhau là có thể gửi file qua, ở đây, họ đã gửi một malware giữa 2 máy SIII và chiếm toàn bộ quyền điều khiển máy đó cũng như ăn cắp tất cả những dữ liệu có bên trong.
Máy SIII được thử nghiệm trong cuộc thi này đang chạy trên Android 4.0.4, người ta đã lợi dụng 2 lỗ hổng an ninh của nó để tiến hành cuộc tấn công. Lỗi đầu tiên là lỗi sai bộ nhớ (Memory Corruption), họ chạm 2 máy SIII vào nhau để gửi một malware (phần mềm gây hại) từ máy này sang máy kia. Ngoài NFC ra thì họ cũng có thể gửi nó qua bằng các con đường khác như website hay file đính kèm trong email, tuy nhiên dùng NFC lợi hơn vì nó nhanh và người dùng khó phản ứng kịp. Malware sau khi truyền qua sẽ cho phép các hacker có thể thực thi một số đoạn mã độc hại, người ta nói nó phải được kích hoạt đến 185 lần mới có thể vượt qua được các rào cản của lỗ hổng.
Lỗi thứ hai được malware khai thác có liên quan đến các đặc quyền trong máy (Privilege Escalation), cho phép hacker chiềm toàn quyền điều khiển chiếc điện thoại, ví dụ như ra lệnh cho máy gọi điện đến số nào đó, và nghiêm trọng hơn nữa là nó sẽ gửi toàn bộ các dữ liệu cá nhân của người dùng như danh bạ, email, tin nhắn và hình ảnh đến cho hacker.
Với thành tích trên, nhóm MWR Labs đã giành được phần thưởng 30.000USD và dự kiến sẽ đăng tải chi tiết cách mà họ tìm ra lỗ hổng cũng như khai thác nó trên blog của mình, tất nhiên là chỉ đăng sau khi Samsung đã vá xong lỗ hổng này.
Theo TheNextWeb
