BizLIVE - Điện thoại của công ty bảo mật hàng đầu Việt Nam dễ dàng bị mở khoá, bởi chính lỗ hổng từ ứng dụng Bkav Mobile Security.
Điện thoại của Bkav dễ dàng bị hacker xâm nhập
Điện thoại của Bkav dễ dàng bị hacker xâm nhập

Tin tặc giấu mặt mới đây đăng tải bài viết hướng dẫn cách hack điện thoại Bphone trên trang Blogspot cá nhân. Chỉ chưa đầy 1 phút, bằng vài thao tác đơn giản, người này có thể bẻ khóa tính năng chống trộm được trang bị trên những điện thoại Bphone vừa ra mắt. Nhờ tận dụng lỗ hổng từ tính năng ông Nguyễn Tử Quảng quảng cáo rất nhiều là “tìm máy thất lạc”, hacker có thể mở khoá điện thoại bằng mã bất kỳ.

CEO Nguyễn Tử Quảng cho biết Bkav tích hợp sâu công nghệ bảo mật vào phần cứng của máy. Nhờ vậy, Bphone trở nên bất khả xâm phạm. Kẻ xấu cầm máy cũng không thể sử dụng hay kiểm soát được máy dù khôi phục cài đặt gốc. 

Vị chủ tịch có biệt danh Quảng “Nổ” tự hào: “Trong trường hợp máy bị thất lạc, chủ máy chỉ cần ra lệnh khóa, máy sẽ biến thành cục chặn giấy và không bán được cho các cửa hàng tiêu thụ đồ ăn cắp. Nhờ công nghệ chống trộm đặc biệt nên 89% khách hàng tìm lại được máy thất lạc”.

Bphone bị hack, Bkav chưa đưa ra bình luận ảnh 1

 Bphone (trái) bị truy cập bằng mã bất kỳ

Tuy nhiên, công nghệ bảo mật lõi của Bkav lại là lỗ hổng được hacker khai thác. Lý do là điện thoại Bphone kết nối với máy chủ thông qua việc gửi tin nhắn SMS. Việc giao tiếp được thực hiện mỗi khi chủ nhân điện thoại thay SIM hoặc bật máy. 

Lúc này, tin nhắn chứa thông tin mã hóa như Chip ID, IMEI... được gửi đến một trong các số điện thoại “tổng đài” của Bkav. Từ thông tin nhận được, server kiểm tra xem chủ nhân điện thoại có báo mất máy không. Khi điện thoại bị xác định là mất máy, server trả về tin nhắn SMS để thực hiện thao tác khóa.

Lỗ hổng bảo mật của Bkav Mobile Security là không kiểm tra danh tính người gửi. Bất kể người gửi là ai, hệ thống đều sẽ ghi nhận xử lý miễn nội dung tin nhắn theo đúng cú pháp. Hacker dễ dàng tìm ra cấu trúc tin nhắn mã hóa mà server trả về điện thoại. 

Từ đó, tin tặc có thể giả mạo tin nhắn SMS gửi từ server đến điện thoại để mở khóa thiết bị với mã bất kỳ. Đây là cách người này bẻ khóa tính năng chống trộm của Bphone. Hacker chia sẻ cụ thể cách bẻ khoá Bphone trong bài viết có tiêu đề “Bẻ khoá công nghệ lõi hàng đầu Việt Nam” trên Blogspot cá nhân.

Theo chia sẻ của hacker, lỗ hổng bảo mật này được phát hiện từ 4 năm trước trên Bphone 3 nhưng đến nay vẫn có thể khai thác. 

Đại diện Bkav cho biết công ty chưa đưa ra bình luận về vụ việc.

Đây là sự cố bảo mật thứ 2 có liên quan đến Bkav chỉ trong 1 tháng. Tháng 12/2021, công ty công nghệ này cũng dính vào rắc rối khi để lộ lọt thông tin người dùng. Hậu quả của vụ việc khiến khoảng 200 người dùng các dòng sản phẩm khác nhau của Bkav bị liên đới.

Bảo Nhi