Lỗ hổng “Fake ID” ảnh hưởng hàng triệu người dùng android

Android là hệ điều hành được sử dụng trong phần lớn các thiết bị di động hiện nay, và nó trở thành một mục tiêu của tội phạm mạng, để lộ ra nhiều các điểm yếu khiến hàng triệu thiết bị Android có nguy cơ bị tấn công cao.

Các nhà nghiên cứu tại công ty an ninh BlueBox vừa phát hiện ra các lỗ hổng trên hệ điều hành android, được gọi là lỗ hổng “Fake ID”, gây ảnh hưởng tới tất cả các phiên bản của hệ điều hành Android từ 2.1 (phát hành năm 2010) đến Android 4.4 (KitKat).

Khai thác lỗ hổng này, kẻ tấn công có thể tạo ra các ứng dụng giả mạo và độc hại mà ẩn danh dưới một một ứng dụng hợp pháp và đáng tin cậy. Ứng dụng này cho phép kẻ tấn công thực hiện hành động như chèn mã độc, đánh cắp thông tin cá nhân hoặc thậm chí điều khiển hoàn toàn một thiết bị nào đó. Cụ thể, các thiết bị chạy phần mở rộng quản lý 3LM có nguy cơ cao bị tấn công, trong đó bao gồm các thiết bị từ HTC tới Pantech, Sharp, Sony Ericsson, và Motorola.

Chi tiết về lỗ hổng

Các nhà nghiên cứu đặt tên là lỗ hổng này là “Fake ID” bởi vì nó cho phép các ứng dụng độc hại cài đặt các thông tin giả mạo để xâm nhập vào hệ điều hành Android mà không cần xác minh chữ ký điện tử của ứng dụng. Hệ điều hành sẽ cấp tất cả các quyền truy cập cho các ứng dụng giả mạo như các ứng dụng hợp pháp khác.

Trên thực tế, để thiết lập định danh của các nhà phát triển ứng dụng, các ứng dụng Android được ký bằng chứng nhận chữ ký số. Nhưng do lỗ hổng này, trình cài đặt ứng dụng Android sẽ không xác thực được chuỗi chứng chỉ tương ứng của một ứng dụng; có nghĩa là tin tặc có thể xây dựng một ứng dụng giả và mạo danh một ứng dụng noi tiếng và được sử dụng như: Adobe plug-in hoặc Google Wallet.

Nhằm vào hệ thống thanh toán Google

Các nhà nghiên cứu cũng chỉ ra mục tiêu lớn hơn một kẻ tấn công khi khai thác lỗ hổng Fake ID là hệ thống thanh toán của Google Wallet. Một ứng dụng độc hại có chữ ký của Google Wallet cho phép kẻ tấn công truy cập Chip NFC (Near Field Communications) bên trong thiết bị.

Chip NFC trong thiết bị chịu trách nhiệm cho việc lưu trữ các thông tin thanh toán được sử dụng trong thanh toán thông qua Google Wallet. NFC này được sử dụng trong các ứng dụng thanh toán điện tử khác nhau và một mã độc khi bị khai thác có thể thu thập tất cả các thông tin của tất cả các thẻ tín dụng của người dùng. Những kẻ tấn công có nhiều cách để khai thác lỗ hổng Fake ID, lỗi này sẽ được trình bày chi tiết tại hội nghị Black Hat ở Las Vegas vào tuần tới.

Google đã phát hành một bản vá vào tháng Tư. Tuy nhiên, nó vẫn khiến một triệu thiết bị có khả năng bị tấn công trở lại do tính năng tự động cập nhật các bản mới cho người dùng. Các lỗ hổng này nằm trong hệ điều hành Android sẽ có các bản cập nhật mới và cung cấp cho người sử dụng trong thời gian tới.

Bluebox Security cũng đã xây dựng một hệ thống quét để kiểm tra các lỗ hổng. Bluebox Security là công ty phát hiện ra lỗ hổng  Android “Master Key”cho phép kẻ tấn công sửa đổi bất kỳ ứng dụng kỹ thuật số hợp pháp đã ký  để biến nó thành một chương trình Trojan, sử dụng để đánh cắp thông tin hoặc kiểm soát thiết bị của người dùng.

Theo THN