MinhSec
Writer
Tại cuộc thi bảo mật Pwn2Own Ireland 2025, hai chuyên gia an ninh mạng Ben R. và Georgi G. từ Interrupt Labs đã khiến giới công nghệ bất ngờ khi khai thác thành công một lỗ hổng zero-day trên Samsung Galaxy S25. Chỉ bằng một chuỗi khai thác tinh vi, họ có thể chiếm quyền kiểm soát hoàn toàn thiết bị mà không cần bất kỳ tương tác nào từ người dùng.
Theo trình diễn trực tiếp tại sự kiện, lỗ hổng cho phép bật camera, ghi hình, chụp ảnh và theo dõi vị trí GPS theo thời gian thực biến chiếc smartphone cao cấp thành “công cụ giám sát” nguy hiểm.
Vấn đề cốt lõi nằm ở lỗi xác thực đầu vào không đúng trong ngăn xếp phần mềm của thiết bị. Khi xử lý các dữ liệu độc hại, hệ thống đã bỏ sót các lớp kiểm tra bảo mật, tạo điều kiện cho kẻ tấn công thực thi mã tùy ý từ xa và duy trì quyền truy cập liên tục.
Điều này càng cho thấy rủi ro đang tồn tại trên các dòng điện thoại Android cao cấp, dù đã trải qua kiểm thử khắt khe trước khi đến tay người dùng.
Thành tích này giúp đội Interrupt Labs giành được 50.000 USD tiền thưởng và 5 điểm Master of Pwn. Đây là một phần trong tổng giải thưởng hơn 2 triệu USD dành cho 73 lỗ hổng zero-day được tìm thấy tại Pwn2Own năm nay.
Pwn2Own do Zero Day Initiative tổ chức với mục tiêu mang tính đạo đức: phát hiện và báo cáo lỗ hổng một cách có trách nhiệm để các hãng như Samsung có thể nhanh chóng vá lỗi, giúp hàng triệu người dùng an toàn hơn.
Hiện Samsung chưa đưa ra phản hồi chính thức về lỗ hổng trên Galaxy S25. Tuy nhiên, giới chuyên gia dự báo bản cập nhật bảo mật tiếp theo sẽ sớm xử lý vấn đề này, tương tự như các bản vá zero-day gần đây trên Android.
Người dùng được khuyến cáo bật cập nhật tự động và chỉ cài ứng dụng từ nguồn đáng tin cậy để giảm rủi ro bị tấn công.
cybersecuritynews.com
Theo trình diễn trực tiếp tại sự kiện, lỗ hổng cho phép bật camera, ghi hình, chụp ảnh và theo dõi vị trí GPS theo thời gian thực biến chiếc smartphone cao cấp thành “công cụ giám sát” nguy hiểm.
Lỗ hổng bảo mật nghiêm trọng trên Galaxy S25 đến từ đâu?
Vấn đề cốt lõi nằm ở lỗi xác thực đầu vào không đúng trong ngăn xếp phần mềm của thiết bị. Khi xử lý các dữ liệu độc hại, hệ thống đã bỏ sót các lớp kiểm tra bảo mật, tạo điều kiện cho kẻ tấn công thực thi mã tùy ý từ xa và duy trì quyền truy cập liên tục.
Điều này càng cho thấy rủi ro đang tồn tại trên các dòng điện thoại Android cao cấp, dù đã trải qua kiểm thử khắt khe trước khi đến tay người dùng.
Pwn2Own: Hack để vá lỗi, bảo vệ người dùng tốt hơn
Thành tích này giúp đội Interrupt Labs giành được 50.000 USD tiền thưởng và 5 điểm Master of Pwn. Đây là một phần trong tổng giải thưởng hơn 2 triệu USD dành cho 73 lỗ hổng zero-day được tìm thấy tại Pwn2Own năm nay.
Pwn2Own do Zero Day Initiative tổ chức với mục tiêu mang tính đạo đức: phát hiện và báo cáo lỗ hổng một cách có trách nhiệm để các hãng như Samsung có thể nhanh chóng vá lỗi, giúp hàng triệu người dùng an toàn hơn.
Hiện Samsung chưa đưa ra phản hồi chính thức về lỗ hổng trên Galaxy S25. Tuy nhiên, giới chuyên gia dự báo bản cập nhật bảo mật tiếp theo sẽ sớm xử lý vấn đề này, tương tự như các bản vá zero-day gần đây trên Android.
Người dùng được khuyến cáo bật cập nhật tự động và chỉ cài ứng dụng từ nguồn đáng tin cậy để giảm rủi ro bị tấn công.
Hackers Exploited Samsung Galaxy S25 0-Day Vulnerability to Enable Camera and Track Location
At Pwn2Own Ireland 2025, cybersecurity researchers Ben R. and Georgi G. from Interrupt Labs showcased an impressive achievement by successfully exploiting a zero-day vulnerability in the Samsung Galaxy S25.
cybersecuritynews.com
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview