Lỗ hổng trên Google Play Store khiến người dùng Android có nguy cơ bị tấn công từ xa

Các nhà nghiên cứu bảo mật vừa cảnh báo về một cặp lỗ hổng trong Google Play Store có thể cho phép kẻ gian cài đặt và chạy các ứng dụng độc hại từ xa trên các thiết bị Android.

Tod Beardsley, lãnh đạo kỹ thuật cho Metasploit Framework tại Rapid7 cảnh báo rằng một lỗ hổng X-Frame-Options (XFO) khi kết hợp với một lỗ hổng WebView Android (Jelly Bean) sẽ giúp tin tặc âm thầm cài đặt bất kỳ ứng dụng tùy ý nào từ Google Play Store vào thiết bị của nạn nhân ngay cả khi không có sự đồng ý của người sử dụng.

Lỗ hổng ảnh hưởng đến những người dùng đang chạy phiên bản Android 4.3 Jelly Bean và các phiên bản trước đó mà không còn nhận được các bản cập nhật bảo mật chính thức cho WebView. Ngoài ra, người dùng đã cài đặt trình duyệt của bên thứ ba cũng sẽ bị ảnh hưởng. Theo các nhà nghiên cứu, các trình duyệt web trong Android 4.3 và các phiên bản trước đó dễ bị tấn công Universal Cross-Site Scripting (UXSS).

Trong cuộc tấn công UXSS, lỗ hổng phía máy client được khai thác trong một trình duyệt web hoặc phần mở rộng trình duyệt để tạo ra một điều kiện có thể khai thác lỗ hổng XSS, cho phép thực hiện mã độc hại, bỏ qua hoặc vô hiệu hóa các cơ chế bảo vệ an ninh trong trình duyệt web.

Hồi đầu tháng này, một lỗ hổng Cross Site Scripting (UXSS) đã được phát hiện trong tất cả các phiên bản mới nhất của Internet Explorer, cho phép tin tặc chèn mã độc hại vào các trang web của người dùng và ăn cắp cookies, session và thông tin đăng nhập. Các nhà nghiên cứu bảo mật đã chứng minh các vấn đề với JavaScript và mã Ruby mà phản hồi từ tên miền play.google.com có thể được tạo ra mà không cần có tiêu đề XFO thích hợp.

Một module Metasploit đã được tạo ra và công bố trên Github để giúp các doanh nghiệp kiểm tra điện thoại thông minh của họ có bị ảnh hưởng bởi lỗ hổng hay không. Để thực thi mã từ xa, kẻ tấn công phải tận dụng hai lỗ hổng trên các thiết bị Android bị ảnh hưởng và thực hiện các bước như sau:

• Đầu tiên, module khai thác một lỗ hổng Universal Cross-Site Scripting (UXSS) xuất hiện trong các phiên bản của trình duyệt mã nguồn mở của Android (AOSP Browser) cũng như một số các trình duyệt khác, trước phiên bản 4 (KitKat).
• Thứ hai, giao diện trang web Play store của Google không thực thi một tùy chọn X-Frame-Options: tiêu đề DENY trên một số trang báo lỗi và do đó, nó có thể trở thành mục tiêu để Inject các mã script. Kết quả là dẫn đến thực thi mã từ xa thông qua tính năng cài đặt Google Play từ xa, như bất kỳ ứng dụng có sẵn nào trên cửa hàng Google Play có thể được cài đặt và chạy trên thiết bị của người dùng.

Để ngăn chặn nguy cơ bị tấn công từ xa, người dùng nên chú ý:

• Sử dụng một trình duyệt web không có khả năng nhiễm lỗ hổng UXSS, chẳng hạn như Google Chrome hoặc Mozilla Firefox hoặc Dolphin.Điều này có thể giúp giảm thiểu việc thiếu X-Frame-Options (XFO) cho tên miền play.google.com.
• Một cách hiệu quả khác là người dùng chỉ cần đăng xuất khỏi tài khoản Google Play Store khi không dùng để tránh những tổn thương và lỗ hổng.

Theo THN