Thay đổi mới của Google Play mở đường cho tin tặc

Google vừa có một thay đổi lớn trong việc phân quyền truy cập cho các ứng dụng làm việc trên hệ điều hành Android, nó vô tình mở ra cơ hội tiềm năng cho tin tặc và các kẻ phát triển ứng dụng độc hại.

Hiện nay, Google đã thu hẹp 145 điều lệ phân quyền ứng dụng Android thành 13 nhóm quyền lớn và phân các nhóm quyền liên quan cho “groups of related permissions” ứng dụng, giúp người dùng Android có thể thoải mái hơn đối với các điều khoản khi cài đặt ứng dụng. Nhưng thật không may, bản cập nhật mới này đã cho thấy một số vấn đề về an ninh và quyền riêng tư:

• Có thể ẩn các quyền thực sự sau các nhóm quyền (chỉ hiển thị các tên nhóm quyền).
• Tự động cập nhật ứng dụng mà không có các cảnh báo khi có những điều khoản mới.

Theo bản cập nhật mới này, một khi người dùng chấp thuận các điều khoản cho phép của một ứng dụng, thực ra người đó đã chấp thuận toàn bộ các quyền truy cập của ứng dụng trong nhóm các quyền hạn cho phép tương ứng. Ví dụ, nếu một ứng dụng muốn đọc các tin nhắn SMS của bạn, nó sẽ đòi hỏi bạn cần chấp thuận quyền cho phép “Read SMS messages”. Nhưng bây giờ, khi cài đặt ứng dụng đó bạn đang thực sự cho phép nó truy cập vào tất cả các tài nguyên, quyền hạn liên quan đến các tin nhắn SMS.

Các nhà phát triển ứng dụng có thể bổ sung các điều khoản nằm trong nhóm các điều khoản “SMS-related permissions Group” ở một bản cập nhật mới trong tương lai hệ thống sẽ không có bất kỳ cảnh báo nào trước khi cập nhật.

Google đã giải thích rằng “Nếu bạn kích hoạt  việc cập nhật tự động, bạn sẽ không cần phải xem xét hoặc chấp nhận các điều khoản khác miễn là chúng vẫn nằm trong nhóm điều khoản mà bạn đã chấp nhận cho ứng dụng đó. ”

Nếu ứng dụng Android của bạn tự động cập nhật, những kẻ phát triển phần mềm độc hại có thể bổ xung các quyền truy cập nguy hiểm vào ứng dụng mà bạn đã cài đặt, mặc dù một người sử dụng thông minh có thể tự xem tất cả các điều khoản trước khi cài đặt, nhưng hàng ngàn người sử dụng sẽ bỏ qua các điều khoản này.

Ví dụ, bạn có thể nhìn thấy trong ảnh chụp màn hình ở trên – tôi đang cài đặt ứng dụng Android của FIFA từ Google Play Store và trước khi cài đặt, ứng dụng được yêu cầu cho phép các nhóm quyền hạn trong hình ảnh bên trái, nhưng thực tế hệ thống sẽ cho phép các quyền thực tế được mở rộng trong hình ảnh bên phải.

Tương tự như vậy, nếu bạn cài đặt bất kỳ ứng dụng với các nhóm điều khoản như “đọc địa chỉ liên lạc của bạn”, ứng dụng có thể bí mật cho phép để thêm hoặc thậm chí thay đổi các thông tin khác của bạn (lịch hẹn …). Dưới đây là một số điều khoản ứng dụng Android bị lạm dụng nhiều nhất và tội phạm mạng đang khai thác vì lợi ích cá nhân:

• GPS để vị trí
• Đọc trạng thái và định danh điện thoại của bạn.
• Tự động khởi động
• Sửa đổi/ xóa nội dung thẻ SD
• Đọc/ Gửi tin nhắn SMS
• Đọc/ chỉnh sửa các địa chỉ liên hệ

Chúng tôi mong người sử dụng vô hiệu hóa việc cập nhật tự động và kiểm tra quyền truy cập ứng dụng mỗi khi một ứng dụng cần cập nhật.

Theo The Hacker News