TechFlow tin tức, ngày 14 tháng 5, trong khuôn khổ "Kế hoạch Hộ tống Web3" do BitsLab phát động, đội an ninh đã phát hiện một ví nổi tiếng trên nền tảng Android tồn tại lỗ hổng giả mạo thông báo tùy ý, và đã hỗ trợ sửa chữa thành công. Lỗ hổng này bắt nguồn từ sai sót trong thiết kế mã nguồn của ứng dụng, kẻ tấn công có thể thông qua việc truyền tham số notification đặc biệt để gọi các phương thức thành phần nhạy cảm có thể xuất ra từ ứng dụng ví, từ đó khởi động dịch vụ tiền cảnh và gửi thông báo với nội dung tùy ý đến thiết bị người dùng. Vì lỗ hổng có thể được kích hoạt ngay khi người dùng sử dụng bình thường ứng dụng ví, nên kẻ tấn công độc hại có thể lợi dụng để gửi thông tin lừa đảo, đánh cắp khóa riêng của ví, gây ra mối đe dọa an ninh nghiêm trọng.
Sau khi ghi nhận lỗ hổng, đội ngũ BitsLab đã nhanh chóng tiến hành phân tích kỹ thuật toàn diện, làm rõ nguyên nhân và con đường tấn công, đồng thời đề xuất phương án sửa chữa chính xác, hỗ trợ ứng dụng ví khắc phục thành công rủi ro rò rỉ thông tin và tấn công lừa đảo, nâng cao đáng kể khả năng bảo vệ quyền riêng tư và độ an toàn hệ thống. Đồng thời, BitsLab khuyến nghị tất cả các bên dự án tự kiểm tra xem ứng dụng Android của mình có tồn tại vấn đề xử lý chưa đúng các thành phần nhạy cảm hay không để phòng tránh rủi ro tương tự.
Việc phát hiện và hỗ trợ sửa chữa lỗ hổng chất lượng cao trên ứng dụng Android của ví nổi tiếng lần này không chỉ bảo vệ an toàn tài sản cho người dùng ví, mà còn một lần nữa khẳng định giá trị quan trọng và đóng góp xuất sắc của đội ngũ BitsLab và "Kế hoạch Hộ tống Web3" trong việc xây dựng an ninh hệ sinh thái blockchain toàn cầu. BitsLab cũng kêu gọi thêm nhiều dự án tham gia chương trình công ích "Kế hoạch Hộ tống Web3" của chúng tôi, cùng nhau xây dựng hàng rào an toàn vững chắc cho thế giới Web3.
