Samsung xác nhận lỗ hổng tồn tại trên thiết bị Galaxy từ năm 2014

Samsung vừa phân phối các bản vá bảo mật tháng 5 mới nhất trên các thiết bị hàng đầu của mình, và nhật ký các thay đổi trong bản cập nhật đã đưa ra một số thông tin đáng chú ý.

Theo Forbes, bản vá bảo mật mới giúp loại bỏ 9 lỗ hổng nghiêm trọng được phát hiện trong Android và 19 lỗ hổng được tìm thấy trong phần mềm độc quyền của Samsung. Một trong 19 lỗ hổng này là lỗi nghiêm trọng xuất hiện trong tất cả smartphone Galaxy kể từ năm 2014. Điều này có nghĩa ngay cả những smartphone cũ như Galaxy S5 hay Galaxy Note 4 cũng đang phải vật lộn với vấn đề.
Lỗ hổng bảo mật đã lợi dụng việc phiên bản Android tùy biến từ Samsung hỗ trợ các tập tin ở định dạng Qmage (.qmg) - định dạng được phát triển bởi công ty Quramsoft của Hàn Quốc. Tất cả smartphone Galaxy từ Samsung đều hỗ trợ các tập tin .qmg kể từ cuối năm 2014, và các tập tin này cũng được sử dụng để hỗ trợ Samsung Themes.
Mặc dù vậy, nhóm nghiên cứu Project Zero của Google đã phát hiện ra một lỗ hổng cho phép khai thác sự không hoàn hảo của việc triển khai Qmage trên smartphone Samsung. Sử dụng phương thức khai thác zero-click, các nhà nghiên cứu đã có thể có quyền truy cập vào một trong các thư viện của hệ điều hành Android tùy biến của Samsung.
Các nhà nghiên cứu có thể truy cập các tập tin hệ điều hành bằng cách gửi tin nhắn MMS. Để đến thư viện của hệ điều hành Android trên thiết bị Galaxy, họ cần thực hiện từ 50 đến 300 tin nhắn MMS. Tất nhiên, các tin nhắn sử dụng tập tin .qmg.
Samsung hiện đã xác nhận và chính thức sửa lỗi được biết đến gần 6 năm này thông qua bản cập nhật tháng 5. Hiện tại, bản vá mới nhất đã xuất hiện cho các smartphone như Galaxy S20, Galaxy Z Flip, Galaxy Fold, Galaxy Note 10, Galaxy S10 và Galaxy A50. Để kiểm tra cập nhật phần mềm, bạn hãy vào Settings > Software Update > Download and install.