Một báo cáo an ninh mạng gần đây cảnh báo hàng loạt ứng dụng Android phổ biến đang vô tình để lộ khóa truy cập Google Gemini, mở ra nguy cơ bị khai thác trái phép mà người dùng thông thường khó có thể nhận ra.
Theo báo cáo của Công ty an ninh mạng CloudSEK, vấn đề nằm ở các khóa API mà ứng dụng sử dụng để kết nối với dịch vụ của Google, vốn được ví như ‘chìa khóa’ cho phép ứng dụng giao tiếp với hệ thống AI của hãng.
Trước đây, các khóa này được xem là thành phần kỹ thuật bình thường và nhiều nhà phát triển vẫn tích hợp sẵn trong ứng dụng mà không gây lo ngại, do chúng không được thiết kế để mở rộng quyền truy cập theo cách nguy hiểm như hiện nay.
Tuy nhiên khi Google Gemini được tích hợp vào hệ sinh thái Google Cloud, các khóa truy cập cũ trở nên nhạy cảm hơn đáng kể, không chỉ còn là mã định danh kỹ thuật mà có thể trở thành cánh cửa truy cập vào các dịch vụ AI có tính phí.
Đáng chú ý, sự thay đổi này diễn ra âm thầm, khiến nhiều nhà phát triển không được cảnh báo đầy đủ rằng những khóa từng được xem là an toàn có thể bị khai thác theo cách hoàn toàn khác.
Theo cách ví von, một chiếc chìa khóa vốn chỉ mở cửa phụ nay có thể mở cả kho chứa tài sản giá trị, và nếu bị lộ, nó có thể bị sử dụng để truy cập trái phép vào các tài nguyên không thuộc quyền sở hữu.
Vấn đề nằm ở chỗ các doanh nghiệp hoặc nhà phát triển có thể chỉ phát hiện sự cố khi chi phí sử dụng tăng bất thường.
Báo cáo cho biết 22 ứng dụng Android phổ biến đang gặp tình trạng này, với tổng lượt cài đặt hơn 500 triệu, cho thấy mức độ ảnh hưởng không chỉ giới hạn ở một số ít ứng dụng mà có thể tác động tới hàng trăm triệu người dùng trên toàn cầu.
Dù không trực tiếp nhìn thấy các khóa API, người dùng cuối vẫn có nguy cơ chịu ảnh hưởng nếu ứng dụng họ sử dụng không được bảo vệ đúng cách.
Điều khiến sự cố này đáng lo là hậu quả không dừng ở khía cạnh kỹ thuật. Khi khóa API bị lộ, kẻ xấu có thể dùng nó để gửi yêu cầu đến Gemini như thể họ là người được phép sử dụng dịch vụ.
Mỗi lần như vậy có thể làm phát sinh chi phí cho chủ tài khoản hoặc đơn vị sở hữu hệ thống. Nếu việc khai thác diễn ra liên tục, hóa đơn có thể tăng rất nhanh.
Báo cáo của CloudSEK nêu ra những trường hợp thiệt hại tài chính thực tế. Có cá nhân được cho là mất hơn 15.000 USD chỉ trong một đêm vì tài khoản bị khai thác trái phép. Một doanh nghiệp ở Nhật Bản cũng chịu tổn thất lên tới khoảng 128.000 USD. Những con số này cho thấy đây không còn là rủi ro trên lý thuyết, mà là vấn đề có thể gây thiệt hại rất cụ thể và rất nặng nề.
Với người dùng phổ thông, câu hỏi đặt ra là: Mình có thể làm gì? Thực tế, đa số người dùng sẽ không tự mình kiểm tra được khóa API hay cấu hình hệ thống phía sau ứng dụng. Nhưng điều đó không có nghĩa là bạn hoàn toàn bất lực.
Cách an toàn nhất là ưu tiên các ứng dụng uy tín, có cập nhật thường xuyên, và tránh cài đặt những ứng dụng lạ không rõ nguồn gốc. Với các ứng dụng đã dùng lâu ngày, việc cập nhật phiên bản mới nhất cũng rất quan trọng, vì nhiều bản vá bảo mật thường được phát hành theo kiểu âm thầm nhưng cần thiết.
Ở phía nhà phát triển, sự cố này là lời nhắc rõ ràng rằng một thay đổi hạ tầng dù nhỏ cũng có thể tạo ra hậu quả lớn nếu không được đánh giá lại toàn diện. Các khóa API cần được quản lý chặt chẽ hơn, giới hạn quyền truy cập rõ ràng hơn, và phải có cơ chế theo dõi bất thường để phát hiện sớm các hành vi khai thác trái phép. Khi AI ngày càng đi sâu vào ứng dụng hằng ngày, an toàn không còn là lớp bổ sung, mà phải trở thành phần cốt lõi ngay từ đầu.
Game Roblox, Minecraft và Genshin Impact bị lợi dụng để tấn công mạng
Theo dữ liệu mới nhất từ công ty an ninh mạng và bảo mật số Kaspersky, khu vực Đông Nam Á (SEA) ghi nhận mức tăng mạnh 86% về số lượng mối đe dọa an ninh mạng liên quan đến trò chơi điện tử được phát hiện trên thiết bị người dùng từ nửa đầu năm 2025 sang nửa cuối năm 2025. Đối tượng xấu thường giả mạo các trò chơi phổ biến hoặc tạo ra các công cụ hỗ trợ chơi trò chơi giả nhằm dụ dỗ trẻ em truy cập vào các trang web lừa đảo hoặc tải xuống các tệp tin chứa mã độc.
Tỷ lệ tăng trưởng trong nửa cuối năm 2025 (so với nửa đầu năm)
Trung bình trên toàn khu vực ĐNA (SEA)
Thống kê các mối đe dọa an ninh mạng liên quan đến trò chơi điện tử tại Đông Nam Á
Trong nửa cuối năm 2025, số lượng mối đe dọa trên toàn khu vực đã tăng 86%. Đáng chú ý, Việt Nam và Thái Lan ghi nhận mức tăng mạnh nhất, lần lượt là 202,5% và 104,4%. Singapore (22,1%) và Malaysia (21,3%) cũng chứng kiến mức tăng đáng kể. Dù Indonesia nằm ngoài xu hướng tăng trưởng chung của khu vực, các chuyên gia cảnh báo rủi ro đe dọa an ninh mạng liên quan đến game tại quốc gia này vẫn ở mức cao, tiềm ẩn nhiều rủi ro không thể lường trước.
Những tựa game bị nhắm mục tiêu nhiều nhất có thể kể đến như Minecraft, Genshin Impact và Roblox. Nguyên nhân chủ yếu đến từ khả năng tùy chỉnh linh hoạt của các tựa game hoặc mức độ phổ biến, trở thành điểm tấn công lý tưởng cho tội phạm mạng. Điển hình như Minecraft, người chơi thường xuyên tải về các bản lậu và bản mod để cá nhân hóa trải nghiệm. Lợi dụng hành vi đó, kẻ gian cài cắm mã độc và ứng dụng tiềm ẩn rủi ro (PUA) dưới mác công cụ hỗ trợ hợp lệ.
Tương tự với Roblox, kẻ tấn công đánh vào tâm lý muốn sở hữu trang phục hiếm của người chơi để dẫn dụ truy cập vào trang web giả mạo, hứa hẹn tặng vật phẩm độc quyền trong game. Thực tế, đây đều là các chiêu trò lừa đảo khiến nạn nhân "tiền mất tật mang", hoặc nguy hiểm hơn là bị đánh cắp thông tin cá nhân và tài khoản ngân hàng, dẫn đến cuộc tấn công mạng tiếp theo.
Các cuộc tấn công mạng liên quan đến trò chơi điện tử còn có thể lan rộng đến cả gia đình. Nguyên nhân từ sự thiếu cảnh giác, người chơi nhỏ tuổi vô tình tiết lộ dữ liệu nhạy cảm như thông tin thẻ tín dụng của cha mẹ hay địa chỉ nhà cho kẻ xấu. Dữ liệu này sau đó có thể bị tin tặc lợi dụng để trục lợi tài chính hoặc tạo điều kiện cho các hoạt động phi pháp tiếp theo, ví dụ dàn dựng tấn công lừa đảo thao túng tâm lý nhắm vào người thân.
Bên cạnh đó, mã độc hoặc ứng dụng khả nghi được tải xuống thiết bị dùng chung trong gia đình cũng có thể xâm phạm quyền riêng tư và dữ liệu của tất cả thành viên khác.
Ông Choon Hong Chee, Giám đốc Kênh phân phối Người tiêu dùng tại khu vực châu Á - Thái Bình Dương của Kaspersky, nhận định: "Chúng tôi tiếp tục ghi nhận mức độ gia tăng của các mối đe dọa mạng liên quan đến trò chơi điện tử nhắm vào trẻ em. Điều đáng lo ngại là những rủi ro này không chỉ ảnh hưởng đến an toàn không gian mạng của người chơi nhỏ tuổi, mà còn là 'cửa ngõ' để tấn công vào mạng lưới chung của gia đình. Do đó, các gia đình cần nhận thức rõ tầm quan trọng của việc bảo vệ mọi tương tác số cho từng thành viên để thực sự đảm bảo an toàn kỹ thuật số một cách toàn diện".
Trước thực tế trên, các chuyên gia bảo mật khuyến nghị người dùng không cài đặt ứng dụng không rõ nguồn gốc, hoặc nhấn liên kết từ nguồn lạ, chỉ truy cập đường dẫn được xác định là an toàn; quét mã độc định kỳ trên thiết bị cá nhân. Đối với phụ huynh, cần giáo dục trẻ về an toàn trên mạng; hướng dẫn trẻ cách thiết lập mật khẩu đủ mạnh và riêng biệt, đồng thời thay đổi định kỳ để tăng cường bảo mật.
Người dùng Galaxy S22 Ultra 'tá hỏa' vì lỗi khóa máy khó hiểu
Theo thông tin từ Android Authority, nhiều người dùng Galaxy S22 Ultra đã khôi phục cài đặt gốc cho thiết bị của mình và nhận thông báo trong quá trình thiết lập rằng điện thoại của họ đang được quản lý bởi một tổ chức. Cụ thể, các thiết bị này dường như thuộc sở hữu của Numero LLC, một công ty bí ẩn không thể liên lạc được.
Những chiếc Galaxy S22 Ultra bị ảnh hưởng đã được đăng ký thông qua Mã nhận dạng thiết bị di động quốc tế (IMEI) với giải pháp quản lý doanh nghiệp Knox Manage của Samsung. Giải pháp này cho phép các doanh nghiệp cấu hình, giám sát và xóa dữ liệu trên thiết bị từ xa, giúp việc quản lý một loạt thiết bị trở nên dễ dàng hơn.
Vấn đề xảy ra khi thiết bị được khôi phục cài đặt gốc. Đặc biệt, máy được mua bởi cá nhân từ Samsung hoặc các kênh bán lẻ đáng tin cậy mà không phải từ nguồn doanh nghiệp. Báo cáo ghi nhận Numero LLC đang sử dụng ứng dụng quản trị có tên "SAMSUNG ADMIN" để quản lý thiết bị và ứng dụng này cho biết thiết bị đang bị khóa bằng tính năng Bảo vệ khôi phục cài đặt gốc (FRP), một biện pháp bảo mật nhằm ngăn chặn việc sử dụng thiết bị trong môi trường không đáng tin cậy.
Điều đáng chú ý là Galaxy S22 được ra mắt vào năm 2022 và hiện gần kết thúc chu kỳ hỗ trợ. Nhiều người dùng đã sử dụng điện thoại trong nhiều năm mà không hề hay biết về việc bị chiếm quyền kiểm soát. Họ chỉ phát hiện ra vấn đề này sau khi khôi phục cài đặt gốc, khi quá trình thiết lập không thể tiếp tục nếu không cấp quyền cho Numero.
Ngay cả bộ phận hỗ trợ của Samsung và Knox đều không thể giải quyết vấn đề khi cả hai đều khẳng định không có quyền truy cập vào cơ sở dữ liệu để gỡ bỏ khóa. Việc cài đặt phiên bản Android tùy chỉnh cũng không giúp ích được gì vì nó không loại bỏ bảo mật Knox ở cấp độ phần cứng.
Có thể một đại lý bán lẻ được cấp phép đã bị xâm nhập để đăng ký một loạt thiết bị người dùng dưới tên Numero LLC. Một giả thuyết khác cho rằng lỗ hổng ủy quyền CVE-2026-20978 đã bị khai thác để bỏ qua các cài đặt, mặc dù điều này yêu cầu quyền truy cập trực tiếp vào thiết bị.
Người dùng hiện chỉ còn hai lựa chọn: sử dụng thiết bị bị hạn chế và do công ty kiểm soát hoặc chấp nhận thiết bị đã bị vô hiệu hóa hoàn toàn. Nhiều người đã khôi phục cài đặt gốc để tặng cho người thân nhưng đã từ bỏ vì lo ngại về quyền riêng tư.
Mặc dù quy mô của vấn đề không lớn và những người dùng bị ảnh hưởng chưa cung cấp bằng chứng chứng minh họ đã mua thiết bị, nhưng việc Samsung từ chối hỗ trợ là điều đáng báo động. Galaxy S22 Ultra là một điện thoại cao cấp và khách hàng không đáng phải vứt bỏ sản phẩm khi máy vẫn hoạt động tốt.
