# GÓC CÔNG NGHỆ > Tin tức công nghệ > Thảo luận | Đánh giá > Bảo mật & Lỗi bảo mật >  Fake ID ảnh hưởng hàng triệu người dùng Android

## trangda

*Các chuyên gia bảo mật tại Bluebox Security cho hay, kẻ xấu có thể lợi dụng lỗ hổng bảo mật trên để mạo danh các nhà phát triển uy tín và chiếm quyền điều khiển thiết bị của người dùng.*
*[replacer_img]
*
_Fake ID,_ lỗ hổng bảo mật do _Bluebox Security_ phát hiện, đặt tên và thông báo cho Google, cho phép các ứng dụng độc hại mạo danh những ứng dụng được tin cậy nhằm đánh lừa người dùng Android. Mặc dù các bản vá đã được công bố hồi tháng Tư, nhưng hiện tại vẫn còn rất nhiều thiết bị Android đang gặp nguy hiểm trước lỗ hổng bảo mật này.
Fake ID có thể mạo danh *Adobe System* để cài đặt Trojan vào ứng dụng, giành quyền truy cập các dữ liệu thanh toán và tài chính truyền qua giao thức NFC bằng cách giả mạo *Google Wallet*; hay chiếm quyền điều khiển toàn bộ thiết bị nhờ mạo danh 3LM, công ty chuyên cung cấp các nền tảng bảo mật cho Android từng được _Motorola Mobility_ mua lại vào năm 2011, trước khi Google mua lại Motorola.
Fake ID đã từng được tìm thấy trong các bản Android từ 2.1. Tuy nhiên, lỗ hổng bảo mật này đã được khắc phục khi Google tung bản vá (_Google bug 13678484_) hồi tháng 4. Phiên bản Android KitKat hoàn toàn miễn nhiễm với lỗ hổng bảo mật này do Google đã thực hiện một số thay đổi trong mã _webview._ Tuy vậy, vẫn còn hàng triệu thiết bị Android chưa được vá lỗi đang phải đối mặt với mối nguy hiểm này vì theo số liệu thống kê của Google, có hơn 80% người dùng vẫn đang sử dụng các phiên bản Android cũ.
Lỗ hổng bảo mật Fake ID hoạt động bằng cách khai thác các vấn đề phát sinh trong cách mà Android sử dụng các chữ kí số (_digital ID_). Trong Android, trước khi gán quyền cho một ứng dụng, hệ điều hành sẽ chỉ kiểm tra nếu ứng dụng đó có một ID đúng chứ không hề kiểm tra nguồn cấp phát ID đó. Chính vì điều này mà các mã giả mạo ID có thể được chèn vào thay thế. Bên cạnh đó, một ứng dụng đơn lẻ cũng có thể mang nhiều ID khác nhau nên chúng có thể được lợi dụng để thực hiện nhiều cuộc tấn công khác nhau.
Hiện tại, _Bluebox Security_ đã phát hành một ứng dụng miễn phí tên gọi _Bluebox Security Scanner_ giúp kiểm tra xem liệu thiết bị Android của mình có nguy hiểm trước các cuộc tấn công của Fake ID hay không. _Jeff Forristal_, Giám đốc công nghệ tại _Bluebox Security_ đang có kế hoạch thảo luận chi tiết về các lỗ hổng bảo mật này tại hội nghị bảo mật _Black Hat_ tại _Las Vegas_ vào tuần tới.

----------

