Nguy hiểm hơn là với cách thức này, hacker chỉ cần gởi tin nhắn MMS thành công tới máy nạn nhân là đã có thể thực thi được đoạn mã, không cần người nhận phải mở máy lên đọc và tin nhắn tự động được xóa trước đó, nạn nhân chỉ thấy thông báo "có tin nhắn mới" mà thôi. Lổ hổng bảo mật này tên Stagefright, nằm trong chức năng chạy file media của hệ thông, theo Zimperium là có tới 950 triệu máy Android có nguy cơ bị.
Một cách thức hack tương tự từng được thực hiện là gởi file PDF có nhúng mã độc tới máy nạn nhân, nhưng cách gởi tin MMS này cao cấp hơn ở chỗ là hacker có thể gởi tin nhắn giữa đêm khuya khi người dùng đang ngủ rồi máy tự động bị hack luôn, không cần người dùng phải đụng tới máy giống như mở file PDF có chứa mã độc lên. Trước khi người dùng dậy, dấu vết đã được xóa bỏ và nạn nhân chẳng biết chuyện gì đã xảy ra với máy của họ.
Zimperium nói rằng các máy đang chạy Android phiên bản 2.2; 2.3; 3.0 - đang chiếm 11% lượng máy Android toàn cầu - có nguy cơ tồn tại lổ hổng này nhiều nhất, nhưng kể cả với phiên bản Android 4.0 trở lên cũng chưa chắc là miễn nhiễm với hình thức hack kiểu mới bằng tin nhắn MMS này.
Nexus 5 chạy Lollipop 5.11 vẫn có thể bị hack bằng MMS
Đại diện của Zimperium đã báo cho Google về lỗi bảo mật này từ hồi tháng 4 vừa rồi. Giám đốc kỹ thuật của Zimperium cho biết nếu bị khai thác, hacker có thể chiếm toàn quyền kiểm soát thiết bị Android của nạn nhân. Khi đó, kẻ xấu có thể đánh cắp dữ liệu của máy gồm hình ảnh, tin nhắn, các đoạn chat trên Facebook, ngoài ra còn có thể bật micro của máy để ghi âm, thậm chí là chuyển hướng các cuộc gọi.
Đáp lại Zimperium, đại diện Google nói "Chúng tôi cám ơn Zimperium về thông báo này. Bảo mật của người dùng Android là điều tối quan trọng với chúng tôi và Google đã nhanh chóng giải quyết vấn đề này, bản cập nhật bảo mật đã được cung cấp cho các hãng đối tác để họ nâng cấp cho các thiết bị".
Theo Mashable
