Phát hiện một lỗ hổng nghiêm trọng có thể khiến smartphone bị hack qua Gmail, đe dọa người dùng trên toàn thế giới.

Các nhà nghiên cứu đến từ Đại học California và Đại học Michigan (Mỹ) đã phát hiện ra một điểm yếu trong các hệ điều hành di động, cho phép phần mềm độc hại thu thập thông tin cá nhân của người dùng với tỷ lệ thành công lên tới 92%.

Mặc dù nhóm nghiên cứu chỉ thử nghiệm trên điện thoại Android, họ khẳng định rằng phương thức tấn công này có thể được áp dụng cho cả ba hệ điều hành vì tất cả đều có chung một tính năng: ứng dụng đã cài đặt có thể truy cập bộ nhớ thiết bị.

Người dùng sẽ vô tình tải về một tài liệu "vô hại" như hình nền, file nhạc hay ứng dụng chứa mã độc. Sau khi tài liệu được tải về, các chuyên gia bảo mật sẽ tận dụng cơ hội này để truy cập vào bộ nhớ chia sẻ của các ứng dụng trên thiết bị.

Các nhà nghiên cứu theo dõi các thay đổi trong bộ nhớ máy và thực hiện những hoạt động ngầm trên smartphone như đăng nhập vào Gmail, H&R Block, hoặc chụp ảnh phiếu thanh toán online qua Chase Bank. Ba ứng dụng này có tỷ lệ tấn công thành công cao nhất, từ 82-92%. Nhóm nghiên cứu còn có thể theo dõi hành động của người dùng trong thời gian thực với vài thao tác đơn giản.

Để đạt tỷ lệ tấn công thành công cao, có hai yếu tố quyết định: thứ nhất, cuộc tấn công cần xảy ra vào thời điểm người dùng đang thao tác trên ứng dụng; thứ hai, nó phải diễn ra một cách bí mật để người dùng không phát hiện ra. Vì vậy, nhóm nghiên cứu đã phải chọn thời điểm tấn công rất tỉ mỉ.

"Chúng tôi nắm rõ thời điểm người dùng đăng nhập vào các ứng dụng ngân hàng. Khi đó, chúng tôi tạo ra một màn hình đăng nhập giả, hoàn toàn giống thật", tiến sỹ Alfred Qi Chen từ Đại học Michigan chia sẻ. "Mọi thứ diễn ra mượt mà nhờ vào việc chúng tôi hiểu rõ lịch trình của người dùng".

Nhóm nghiên cứu dự kiến sẽ trình bày những phát hiện quan trọng này tại hội nghị an ninh USENIX, tổ chức tại San Diego (Mỹ) vào ngày 23 tháng 8 tới. Một số video mô phỏng quá trình tấn công trên smartphone cũng sẽ được công bố.