Trong một bài đăng trên blog được xuất bản vào 15/2, các nhà nghiên cứu, Echo Duan và Jesse Chang của Trend Micro đã mô tả một loạt lỗ hổng trong SHAREit có khả năng cho phép tin tặc làm đánh cắp dữ liệu và chạy mã độc cục bộ hoặc từ xa.
Sau 3 tháng kể từ khi tiết lộ phát hiện của mình cho công ty Smart Media4U Technology (có trụ sở tại Singapore), họ không nhận được phản hồi từ nhà sản xuất ứng dụng. Do vậy họ đã công khai những lỗ hổng này. Các nhà nghiên cứu cho biết "Chúng tôi quyết định tiết lộ nghiên cứu của mình ba tháng sau khi báo cáo điều này vì nhiều người dùng có thể bị ảnh hưởng bởi cuộc tấn công này bởi tin tặc có thể đánh cắp dữ liệu nhạy cảm và làm bất cứ điều gì với sự cho phép của ứng dụng".
Theo Duan và Chang, ứng dụng SHAREit triển khai một thành phần bộ thu phát sóng được gọi là "com.lenovo.anyshare. app.DefaultReceiver" có thể được gọi thông qua cơ chế giao tiếp liên ứng dụng Intent của Android từ bất kỳ ứng dụng nào khác. Họ đã xây dựng một Intent POC cho thấy các hoạt động tùy ý, bao gồm các hoạt động ứng dụng nội bộ (không công khai) và bên ngoài của SHAREit.
Tệ hơn, ứng dụng định nghĩa FileProvider một API chia sẻ tệp cho phép các ứng dụng của bên thứ ba có quyền truy cập đọc và ghi tệp tạm thời vào dữ liệu của ứng dụng SHAREit, từ gốc của ứng dụng thay vì thu hẹp phạm vi trong một thư mục cụ thể. Do đó, các nhà nghiên cứu đã có thể tạo ra mã POC để đọc các cookie được liên kết với thành phần duyệt WebView có sẵn cho ứng dụng.
Duan và Chang cho biết họ cũng có thể ghi đè các tệp hiện có được liên kết với ứng dụng, bao gồm tệp vdex / odex - các tệp đã được xác thực/tối ưu hóa .dex(Dalvik Executable) tải trước thông tin để khởi động ứng dụng nhanh hơn, việc chỉnh lại các tệp này có thể cho phép tin tặc thay đổi các tệp đó để chúng thực thi mã độc.
Ứng dụng cũng triển khai tính năng liên kết sâu cho phép nó tải xuống tệp từ bất kỳ địa chỉ http/https nào bao gồm *.wshareit.com hoặc gshare.cdn.shareitgames.com. Vì tính năng này sẽ cài đặt một APK Android có hậu tố là tệp .sapk. Duan và Chang nói rằng có thể cài đặt một ứng dụng độc hại và cho phép thực thi mã từ xa hạn chế.
Mặc dù các nhà nghiên cứu lưu ý rằng Google Chrome thực hiện biện pháp bảo vệ chống lại việc cài đặt ứng dụng thầm lặng thông qua URL liên kết sâu, họ chỉ ra rằng ứng dụng cục bộ vẫn có thể kích hoạt tải xuống và cài đặt từ một URL tùy ý.
Hơn nữa, SHAREit cũng dễ bị tấn công xen giữa (MITM). Các nhà nghiên cứu nói rằng, khi ứng dụng tải xuống các ứng dụng khác từ trung tâm tải xuống, nó sẽ kiểm tra thư mục bên ngoài có thể được ghi bởi bất kỳ ứng dụng bên thứ ba nào có quyền ghi vào SDcard. Ứng dụng này cho phép tải xuống các ứng dụng trò chơi khác được liệt kê trong một tệp .xml và hầu hết các URL trong đó sử dụng giao thức http không an toàn, khiến chúng cũng có thể là phương tiện tạo điều kiện cho tấn công MITM.
Nguyễn Anh Tuấn (the The Register)
10:00 | 02/06/2023
14:00 | 25/01/2021
14:00 | 22/12/2020
09:00 | 28/10/2020
15:00 | 25/03/2024
Ngày 15/3/2024, Quỹ Tiền tệ Quốc tế (IMF) cho biết họ đã bị tấn công mạng sau khi những kẻ tấn công xâm phạm 11 tài khoản email của tổ chức này vào đầu năm nay.
07:00 | 11/12/2023
Hoạt động từ cuối năm 2021, Ducktail là họ phần mềm độc hại nhằm mục đích đánh cắp tài khoản doanh nghiệp trên Facebook. Theo báo cáo của 2 hãng bảo mật WithSecure (Phần Lan) và GridinSoft (Ukraine) cho biết các cuộc tấn công Ducktail được thực hiện bởi một nhóm tin tặc đến từ Việt Nam.
09:00 | 08/12/2023
Để bổ sung thêm những tính năng dành cho các nền tảng ứng dụng nhắn tin hiện nay, các nhà phát triển bên thứ ba đã đưa ra các bản mod (phiên bản sửa đổi của ứng dụng không chính thức) cung cấp các tính năng mới bên cạnh những nâng cấp về mặt giao diện. Tuy nhiên, một số mod này có thể chứa phần mềm độc hại cùng với các cải tiến hợp pháp. Một trường hợp điển hình đã xảy ra vào năm ngoái khi các nhà nghiên cứu Kaspersky phát hiện ra Trojan Triada bên trong bản mod WhatsApp. Gần đây, các nhà nghiên cứu đã phát hiện một bản mod Telegram có module gián điệp được nhúng và phân phối thông qua Google Play. Câu chuyện tương tự hiện tại xảy ra với WhatsApp, khi một số bản mod trước đây đã được phát hiện có chứa module gián điệp có tên là Trojan-Spy.AndroidOS.CanesSpy.
09:00 | 17/11/2023
Dữ liệu nội bộ của Boeing, một trong những nhà thầu quốc phòng và vũ trụ lớn nhất thế giới, đã bị nhóm tin tặc Lockbit phát tán trực tuyến.
Các chuyên gia bảo mật cảnh báo rằng thế giới đang phải đối mặt với sự phát triển của những công nghệ mới, mối đe dọa đang ngày càng gia tăng cả về phạm vi, lẫn cường độ của các cuộc tấn công.
08:00 | 17/04/2024