Galaxy S23 và Xiaomi 13 Pro thua Apple, Goole trong cuộc thi hack điện thoại

Vừa qua tại cuộc thi Toronto’s Pwn2Own, lượng lớn người tham gia đã có cơ hội thử bẻ khoá (hack) những mẫu điện thoại cao cấp hiện nay. Trong khi Google Pixel 7 và iPhone 14 được đánh giá tương đối tốt về độ bảo mật, Samsung Galaxy S23 cũng như Xiaomi 13 Pro lại gây thất vọng.

Tại cuộc thi này, nhóm tham gia đầu tiên sẽ phải tìm cách truy cập vào tài nguyên của những thiết bị. Trong khi đó, nhóm thứ hai có thể kiểm tra độ xác thực đầu vào của những chiếc điện thoại. Hiểu đơn giản hơn, việc xác thực đầu vào không đúng cách có thể khiến tin tặc có thể truy cập vào ứng dụng, sau đó triển khai mã độc hoặc kiểm soát toàn bộ tài nguyên trên thiết bị.

Success! Pentest Limited was able to execute an Improper Input Validation against the Samsung Galaxy S23. They earn $50,000 and 5 Master of Pwn points. #Pwn2Own pic.twitter.com/VaLc1mnhiH
— Zero Day Initiative (@thezdi) October 24, 2023

Theo quy định của cuộc thi, người tham gia phải “xâm nhập vào thiết bị bằng cách duyệt web trong trình duyệt mặc định đối với thiết bị được kiểm tra” hoặc bằng cách tương tác với thiết bị bằng giao thức NFC, Wi-Fi hoặc Bluetooth. Những thiết bị này cũng phải chạy phiên bản phần mềm và bản vá mới nhất để đảm bảo tính công bằng.

Samsung Galaxy S23 chính là một trong 4 chiếc điện thoại được đưa vào làm thí nghiệm tại cuộc thi, bên cạnh Google Pixel 7, iPhone 14 và Xiaomi 13 Pro. Bên cạnh đó, một số thiết bị nhà thông minh, thiết bị lưu trữ mạng và máy in cũng được đưa vào cuộc thi năm nay.

*Xiaomi 13 Pro gặp hai vi phạm về bảo mật, trong đó có lỗ hổng zero-day*

Những sản phẩm cao cấp đến từ Google và Apple không thể bị phá vỡ lớp bảo mật ngay từ lần đầu tiên. Tuy nhiên, điều tương tự đã không xảy ra với Xiaomi và Samsung. Các biện pháp bảo mật của Xiaomi đã dẫn đến hai lỗi vi phạm, một trong số đó là lỗ hổng zero-day.

Lỗ hổng Zero-day (hay 0-day) là thuật ngữ để chỉ những lỗ hổng phần mềm hoặc phần cứng chưa được biết đến và chưa được khắc phục. Các hacker có thể tận dụng lỗ hổng này để tấn công xâm nhập vào hệ thống máy tính của doanh nghiệp, tổ chức để đánh cắp hoặc thay đổi dữ liệu. Một cuộc tấn công khai thác lỗ hổng zero-day có thể gọi là zero-day exploit hoặc zero-day attack (Theo Cystack.net)

Năm ngoái, Galaxy S22 chạy trên Android 13 đã từng bị hack chỉ sau 55 giây trong cuộc thi. Tính bảo mật của thiết bị này đã gây thất vọng khi vi phạm đến 4 lần trong suốt 4 ngày của cuộc thi này. Pwn2Own năm nay sẽ kéo dài đến ngày 27 tháng 10, vì vậy các lỗ hổng mới có thể sẽ xuất hiện trong vài ngày tới.

Theo: Android Authority