Có thể hack smartphone Android từ Chrome chỉ bằng một đường dẫn!

Tại hội nghị bảo mật PacSec đang diễn ra tại Tokyo, một chuyên gia Trung Quốc đã tìm ra được một lỗ hổng khá nguy hiểm trên Android, cho phép xâm nhập điện thoại qua Chrome chỉ bằng một đường dẫn.

Chuyên gia Trung Quốc trình bày về lỗ hổng trên Chrome

Theo Register, lỗ hổng này xuất hiện trên engine JavaScript v8 ở Chrome. Chuyên gia có tên Guang Gong đã trình diễn lỗ hổng này bằng cách xâm nhập một chiếc Nexus 6 và cài đặt một ứng dụng từ xa. Do lỗ hổng bảo mật nhắm vào engine của JavaScript, nó có thể được lập trình lại để xâm nhập tất cả điện thoại Android.

Nhà tổ chức của PacSec, ông Dragos Ruiu cho biết điểm ấn tượng nhất của phát hiện này là Gong chỉ cần sử dụng một lỗ hổng duy nhất để có quyền điều khiển thiết bị; trong khi phần lớn các phương pháp khác phải khai thác một loạt lỗ hổng khác nhau. Một đại diện của Google tại hội nghị đã ghi nhận lỗ hổng này. Ruiu cho biết Google rất có thể sẽ trả một khoản tiền lớn cho phát hiện này.

Guang Gong hiện là một chuyên gia bảo mật của Quihoo 360, một công ty bảo mật có tiếng của Trung Quốc. Với phát hiện này, Gong sẽ được mời tới hội nghị CanSecWest được tổ chức tại Canada vào tháng Ba năm sau. Anh này còn được thưởng một chuyến du lịch trượt tuyết cho thành quả của mình.

Anh Minh

Continue reading →

Lỗ hổng bảo mật trên ứng dụng iOS cũng nhiều như Android

Số liệu thống kê từ hãng bảo mật di động Checkmarx và AppSec Labs cho thấy, các ứng dụng trên App Store của iOS tiềm ẩn nhiều lỗ hổng bảo mật nghiêm trọng hơn cả Google Play trên Android.

Bảng so sánh tính nghiêm trọng của các lỗ hổng bảo mật

Niềm tin không còn đúng

Theo báo cáo của Checkmarx, một lỗ hổng được coi là nghiêm trọng khi nó cho phép kẻ tấn công dễ dàng khai thác trực tiếp mà không cần tới sự "hỗ trợ" của người dùng. Nếu khai thác thông tin thành công, các lỗ hổng bảo mật có thể gây ra những thiệt hại vô cùng to lớn cho các ứng dụng, người dùng lẫn Apple.

Cho đến nay, niềm tin về sự an toàn và bảo mật của nền tảng iOS mà cụ thể là chợ ứng dụng App Store vẫn còn khá cao. Tuy vậy những thử nghiệm thực tế trên cả hai nền tảng và cả hai chợ ứng dụng đã cho thấy đâu mới là nơi thực sự nguy hiểm nhất.

Giám đốc marketing sản phẩm của Checkmarx, Amit Ashbel cho biết, lỗ hổng bảo mật cao và nghiêm trọng được tìm thấy trên iOS chiếm tới 40%. Trong khi bên Android, con số này chỉ là 36%.

Được biết các nhà nghiên cứu đã thử nghiệm hàng trăm ứng dụng các loại từ ngân hàng, tiện ích, bán lẻ, game và an ninh. Thậm chí, họ phát hiện những ứng dụng ngân hàng đều gặp phải những lỗ hổng như lỗi xác thực và rò rỉ dữ liệu.

"Bạn mong đợi các ứng dụng tài chính an toàn hơn các ứng dụng khác, nhưng chúng cũng chỉ giống như bao ứng dụng khác", Ashbel nói.

Mặc dù báo cáo không đưa ra con số chính xác nhưng Checkmarx cho biết, các ứng dụng di động trung bình có 9 lỗ hổng và số lượng ứng dụng iOS "nhiễm bệnh" đang nhiều hơn so với Android.

Theo CSO Online, các lỗ hổng làm rò rỉ thông tin cá nhân nhạy cảm của người dùng chiếm 27%, liên quan đến quá trình xác thực danh tính và uỷ quyền chiếm 23%, quản lý cấu hình chiếm 16%. Mật khẩu yếu, công bố thông tin nhật ký, bản ghi ứng dụng và lỗi xử lý xác nhận đầu vào... chiếm phần còn lại.

Tại sao App Store lại gặp nguy cơ nhiều hơn so với Google Play Store?

Vấn đề này nằm ở thái độ của chính những lập trình viên ứng dụng trên nền tảng iOS. Khi nền tảng iOS vốn được đánh giá cao bởi những chính sách quản lý ứng dụng cứng rắn thì các nhà phát triển lại khá dễ dãi và chủ quan trong vấn đề bảo mật ứng dụng. 

Theo CSO Online, Apple có thể dễ dàng tung ra các bản cập nhật bảo mật cho tất cả người dùng iOS. Trong khi Android, điều này sẽ còn phụ thuộc vào các nhà cung cấp. Nhưng cũng chính vì vậy đã tạo tâm lý ỷ lại và không quan tâm ở nhiều nhà phát triển iOS. Sự chủ quan này vô tình đã tạo một khe hở lý tưởng để tin tặc có thể len lỏi vào và tiến hành tấn công người dùng.

Đa phần những cuộc tấn công di động hiện nay đều sử dụng mã độc và virus lây lan cho "khổ chủ". Bởi lẽ cách tấn công này khá đơn giản và không mất công truy tìm những lỗ hổng trên ứng dụng. Tuy vậy, lỗ hổng bảo mật lại đang là một xu hướng mới của tin tặc. Theo thống kê có tới 80% các cuộc tấn công PC hiện nay chủ yếu thông qua khai thác các lỗ hổng trên ứng dụng. Còn với di động, câu chuyện sẽ chỉ còn là vấn đề thời gian.

Cách đây không lâu, iOS cũng đã gặp phải một lỗ hổng bảo mật nghiêm trọng. Lỗ hổng kết nối web an toàn HTTPS đã được phát hiện trên khoảng 1.500 ứng dụng iOS. Nếu như bị khai thác, lỗ hổng này sẽ dễ dàng làm lộ nhiều thông tin cá nhân trên thiết bị di động của người dùng.

Tuy vậy để công bằng hơn, bản báo cáo trên của Checkmarx chưa cung cấp những số liệu dưới dạng con số mà chỉ tập trung vào tỷ lệ %. Điều này cũng đặt những nghi vấn liên quan đến tính xác thực của bản báo cáo.

Tiến Thanh

Continue reading →

Có thể hack smartphone Android từ Chrome chỉ bằng một đường dẫn!

Tại hội nghị bảo mật PacSec đang diễn ra tại Tokyo, một chuyên gia Trung Quốc đã tìm ra được một lỗ hổng khá nguy hiểm trên Android, cho phép xâm nhập điện thoại qua Chrome chỉ bằng một đường dẫn.

Chuyên gia Trung Quốc trình bày về lỗ hổng trên Chrome

Theo Register, lỗ hổng này xuất hiện trên engine JavaScript v8 ở Chrome. Chuyên gia có tên Guang Gong đã trình diễn lỗ hổng này bằng cách xâm nhập một chiếc Nexus 6 và cài đặt một ứng dụng từ xa. Do lỗ hổng bảo mật nhắm vào engine của JavaScript, nó có thể được lập trình lại để xâm nhập tất cả điện thoại Android.

Nhà tổ chức của PacSec, ông Dragos Ruiu cho biết điểm ấn tượng nhất của phát hiện này là Gong chỉ cần sử dụng một lỗ hổng duy nhất để có quyền điều khiển thiết bị; trong khi phần lớn các phương pháp khác phải khai thác một loạt lỗ hổng khác nhau. Một đại diện của Google tại hội nghị đã ghi nhận lỗ hổng này. Ruiu cho biết Google rất có thể sẽ trả một khoản tiền lớn cho phát hiện này.

Guang Gong hiện là một chuyên gia bảo mật của Quihoo 360, một công ty bảo mật có tiếng của Trung Quốc. Với phát hiện này, Gong sẽ được mời tới hội nghị CanSecWest được tổ chức tại Canada vào tháng Ba năm sau. Anh này còn được thưởng một chuyến du lịch trượt tuyết cho thành quả của mình.

Anh Minh

Continue reading →

16 đồng hồ tuyệt đỉnh trưng bày tại triển lãm SalonQP

Trong tuần lễ này, các tín đồ yêu đồng hồ trên toàn thế giới sẽ cùng tập trung sự chú ý về sự kiện SalonQP đang diễn ra tại phòng trưng bày Saatchi ở London, Anh.

Tại sự kiện triển lãm đồng hồ SalonQP, hơn 100 thương hiệu đồng hồ lớn nhất trên toàn cầu sẽ cùng mang tới những sản phẩm tuyệt vời nhất của mình. Bên cạnh các thương hiệu lớn như Audemars Piguet, Piaget và Vacheron Constantin, các thương hiệu nhỏ hơn như Shinola hay Christiaan van der Klaaw cũng sẽ tham gia vào sự kiện này.

Timothy Barber, biên tập viên của tạp chí danh tiếng QP Magazine và cũng là người dẫn chương trình chính tại SalonQP khẳng định: "Sản xuất đồng hồ đeo tay là một lĩnh vực rất rộng lớn và chúng tôi muốn phản ánh lại điều này". Khách tới thăm triển lãm SalonQP tại Saatchi cũng sẽ được tìm hiểu thêm một số chủ đề đặc biệt như mức độ phổ biến của các loại đá quý gắn trên đồng hồ, cơ chế của đồng hồ lặn hay cách theo dõi thị trường đồng hồ cổ.

Dưới đây là 16 mẫu đồng hồ ấn tượng nhất tại SalonQP do CNN bình chọn.

Chiếc đồng hồ Thụy Sĩ trong bộ sưu tập Villeret của Blancpain được chế tác bằng Shakudo, một chất liệu bằng đồng pha vàng do các nghệ nhân Nhật Bản chế tác. Hình ảnh vị thần Hindu Ganesh nằm ở chính giữa. Đây là chiếc đồng hồ đã đạt giải Chế tác Nghệ thuật tại SalonQP.

Chiếc đồng hồ Diamond Punk của Audemars Piguet đạt giải Đồng hồ Sang trọng với 8.000 viên kim cương và hơn 1.440 giờ chế tác.

Giải thưởng Sáng tạo thuộc về chiếc Tourbillion of Tourbillions do Antoine Preziuso chế tác. Tổng cộng chỉ có 5 chiếc Tourbillion được sản xuất trong năm nay.

Marc Newson, tên tuổi đứng đằng sau chiếc Apple Watch, mang tới sự kiện SalonQP một chiếc đồng hồ cát "lo-tech" mang thương hiệu Ikepod. Thay vì sử dụng cát thì chiếc đồng hồ này lại dùng 8 triệu viên bóng nano.

Chú chim bé nhỏ trong chiếc đồng hồ Jaquet Droz này sẽ hót và đập cánh khi bạn nhấn nút phía trên. Sản phẩm thú vị này đoạt giải Đồng hồ Cơ nổi bật.

Trong năm nay, dòng đồng hồ Big Bang của Hublot tròn 10 tuổi. Vào đúng dịp này, phiên bản Broderie chế tác từ sợi carbon và bạc đã đoạt giải thưởng Đồng hồ của Phái đẹp.

Chiếc đồng hồ "Nỗi sợ loài nhện" của MB&F được truyền cảm hứng từ tác phẩm điêu khắc Maman của Louise Bourgeois.

Giải thưởng Đồng hồ Hồi sinh thuộc về chiếc Double Sided Cuff của Piaget.

Chiếc đuôi của con công trên chiếc Lady Compliquee Peacock sẽ mở rộng từ từ để thay thế cho kim phút trong khi vòng xoay bên ngoài thay thế cho kim giờ. Giải thưởng Đồng hồ Cơ Tinh xảo cho Phái Nữ đã thuộc về chiếc đồng hồ này.

Salon QP sẽ tổ chức một cuộc trình diễn có tên Gems of Time (Viên ngọc của Thời gian) dành riêng cho những chiếc đồng hồ trang sức, ví dụ như chiếc Premier Precious Butterfly Automatic 36mm của Harry Winston.

Chiếc Rendez-Vous Celestial của Jaeger LeCoultre khắc họa những chòm sao trên bầu trời Bắc Bán cầu.

Chiếc Opus 14 của Harry Winston lấy cảm hứng từ máy chơi nhạc jukebox của thập niên 1950.

Nhà thiết kế Hoptroff đến từ London là công ty đầu tiên chế tạo ra những chiếc đồng hồ tự động. Trong ảnh: Hoptroff No. 3.

Chiếc Orion Neomatik Chamagner của NOMOS Glashutte phản ảnh phong cách Bauhaus.

Kim cương, đá rubellite, thạch anh tím và đá trân châu cùng xuất hiện trên vòng đeo bằng vàng hồng của Bulgari Diva.

Garrick phô diễn lòng tự hào của người Anh trên chiếc Norfock với 2 kim hình mũi neo để thể hiện lịch sử hải quân lâu đời của nước Anh.

Lê Hoàng

Theo Cnn

Continue reading →

Top 27 công trình đạt giải kiến trúc thế giới, có Việt Nam

Tại Liên hoan Kiến trúc Thế giới năm nay diễn ra từ ngày 4-6/11 vừa qua tại Marina Bay Sands (Singapore), các công trình của Việt Nam đã vinh dự dinh về hai hạng mục giải thưởng lớn của ngành kiến trúc thế giới.

Hai giải thưởng đạt được của Việt Nam nằm trong hạng mục nhà cộng đồng và nhà ở tốt nhất. Năm nay, các công trình tham dự đều được giới chuyên môn công nhận về thiết kế hoàn hảo và độ độc đáo trong từng chi tiết thiết kế. Từ trung tâm mua sắm cho tới khách sạn, bệnh viện và nhà ở, tất cả đều đại diện cho xu hướng thiết kế các công trình kiến trúc trong hiện tại và tương lai, trong đó đề cao xu hướng kiến trúc xanh, thân thiện với môi trường.

Hãy cùng chiêm ngưỡng 27 bức hình được trang BusinessInsider tổng hợp về những tòa nhà mới đẹp nhất hiện nay để cảm nhận được điều tuyệt vời nhất do chính bàn tay và khối óc con người tạo ra.

Hạng mục Nhà ở cộng đồng đẹp nhất: Nhà cộng đồng xã Cẩm Thanh, TP. Hội An, Việt Nam (công ty kiến trúc 1+1>2 International Architecture).

Hạng mục trưng bày và thể hiện đẹp nhất: Sảnh Brazilian, Expo Milano 2015 ở Ý (Studio Arthur Casas và Atelier Marko Brajovic).

Hạng mục vì sức khỏe đẹp nhất: Trung tâm dưỡng lão Walumba ở Úc (nhóm thiết kế Iredale Pedersen Hook Architects).

Hạng mục nghiên cứu và giáo dục đẹp nhất: Trường âm nhạc Toho Gakuen ở Nhật Bản (công ty thiết kế Nikken Sekkei).

Hạng mục khách sạn và khu giải trí đẹp nhất: Khách sạn kiêm khu nghỉ dưỡng Lanserhof Lake Tegern (nhóm thiết kế Ingenhoven Architects).

Hạng mục nhà ở đẹp nhất: Saigon House, TP.HCM, Việt Nam (Studio a21).

Hạng mục tòa nhà đẹp nhất: Tổ hợp chung cư The Interlace ở Singapore (công ty OMA:Buro Ole Scheeren).

Hạng mục sử dụng hỗn hợp đẹp nhất: Casba ở Úc do Billard Leece (công ty kiến trúc SJB Architects).

Hạng mục pha trộn phong cách đẹp nhất: Công trình Courtyard House ở Trung Quốc (People's Architecture Office).

Hạng mục văn phòng đẹp nhất: HIGO ở Nhật Bản (công ty Nakayama Architects).

Hạng mục kiến trúc tôn giáo đẹp nhất: Khoa nghiên cứu Hồi giáo ở Qatar (công ty kiến trúc Mangera Yvars Architects).

Hạng mục trường học đẹp nhất: Trường múa bale ở Nga (Studio 44 Architects).

Hạng mục nơi mua sắm đẹp nhất: Sino-Ocean Taikoo Li Thành Đô ở Trung Quốc (hãng The Oval Partnership).

Hạng mục kiến trúc thể thao đẹp nhất: Sân vân động Mames ở Tây Ban Nha (ACXT-IDOM Architects).

Hạng mục thiết kế giao thông đẹp  nhất: Fulton Center ở TP. New York (Grimshaw Architects).

Hạng mục sử dụng hỗn hợp thương mại đẹp nhất (Công trình tương lai): Chủ đề khu vườn (Waterway Neighbourhood Centre và Polyclinic ở Punggol , Singapore do Multiply Architects).

Hạng mục hạ tầng đẹp nhất (Công trình tương lai): Tổ hợp sân bay Cukurova Regional ở Thổ Nhĩ Kỳ (EAA Emre Arolat Architects).

Hạng mục công trình dùng đèn LED đẹp nhất (Công trình tương lai): Sân vận động Olympic Luân Đôn ở V.Q Anh (Populous Architects).

Hạng mục văn phòng đẹp nhất (Công trình tương lai): Reservoir ở Ấn Độ (Sanjay Puri Architects).

Hạng mục quy hoạch tổng thể đẹp nhất (Công trình tương lai): Ý tưởng phát triển trung tâm lịch sử Kaliningrad ở Nga (Studio 44 Architects).

Hạng mục thể nghiệm đẹp nhất (Công trình tương lai): Trang trại gia đình ở Singapore (Spark Architects).

Hạng mục công trình kiến trúc giáo dục đẹp nhất: Trung tâm biểu diễn nghệ thuật tại trường ĐH. Wellington ở V.Q. Anh (Studio Seilern Architects).

Hạng mục nhà đẹp nhất (Công trình tương lai): Issa Grotto/Hill House ở Croatia (DavorMatekovic/PROARH).

Hạng mục dân cư đẹp nhất (Công trình tương lai): Nhà Vancouver ở Vancouver , Canada, (BIG Architects).

Hạng mục công trình vì sức khỏe đẹp nhất: Trung tâm Al Maha dành cho trẻ em và thanh niên tại Qatar (EAA Emre Arolat Architects).

Hạng mục kiến trúc văn hóa ấn tượng nhất: Bảo tàng tranh và điêu khắc ở Thổ Nhĩ Kỳ (EAA Emre Arolat Architects).

Hạng mục ứng cử tương lai ấn tượng nhất: Quay Quarter (Francis-Jones Morehen Thorp).

Tiến Thanh

Continue reading →

Microsoft thừa nhận tự cài đặt Windows 10 lên máy chạy Windows 7 và 8

Hai tuần sau khi nhiều người dùng lên tiếng phàn nàn rằng Windows 10 đã cố tình tự cài đặt lên các máy chạy Windows 7 và 8, Microsoft lên tiếng xác nhận tình trạng này.

Trong 2 tuần trở lại đây, nhiều người dùng Windows 7 và 8 đã phát hiện ra một số hiện tượng bất thường liên quan tới bản cập nhật Windows 10. Trong một số trường hợp, người dùng sau khi thực hiện khởi động lại máy sau cập nhật tự động đã phát hiện ra rằng máy của mình đang bị cài đặt Windows 10. Trong một số trường hợp khác, lịch sử cập nhật Windows 7 và 8 lại chứa đầy các thông báo cài đặt Windows 10 không thành công.

Tuyên bố mới nhất của Microsoft tới Forbes cho biết hiện tượng này đã xảy ra và do một lỗi trong quá trình cập nhật tự động của Windows 7 và Windows 8. Microsoft không hé lộ chi tiết về lỗi này ngoại trừ thừa nhận mã lỗi 0×80240020 trên file log của Windows.

Do quá trình cập nhật diễn ra dưới nền, những người bị ảnh hưởng chỉ biết được máy tính của họ đang bị cài đặt Windows 10 một cách tự động sau khi đã cài lại máy tính. Microsoft cho biết lỗi này đã được vá và trong tương lai Windows 10 sẽ không còn bị cập nhật tự động dưới nền khi không có sự đồng ý của người dùng.

Điều đáng nói là vào tháng trước Microsoft cũng đã để rò rỉ một "lỗi" khiến cho ô tùy chọn đồng ý cập nhật lên Windows 10 trên Windows 7 và 8 được tự động lựa chọn. Mới gần đây, gã khổng lồ phần mềm cũng đã tuyên bố sẽ coi bản cập nhật Windows 10 là "cập nhật được khuyến cáo" bắt đầu từ đầu năm sau – tất cả các máy tính Windows 7 và Windows 8 đang sử dụng tùy chọn cập nhật mặc định cũng sẽ tự động cài Windows 10. Do đó, tất cả các trường hợp tự cài Windows 10 mà Microsoft tự coi là "lỗi" cũng hoàn toàn là... đạo đức giả, đặc biệt là trong bối cảnh thị phần Windows 10 đã nhanh chóng chậm lại sau vài tháng đầu "bùng nổ".

Lê Hoàng

Theo Forbes

Continue reading →