Những lập trình viên Android, Java sử dụng các môi trường phát triển tích hợp (IDE) phổ biến như Google Android Studio, IntelliJ hay Eclipse, cũng như những người sử dụng các công cụ dịch ngược tệp APK như APKTool hay Cuckoo-Droid có thể bị đánh cắp dữ liệu, kiểm soát máy tính và thực thi mã độc từ xa. Cách thực hiện tấn công này rất đơn giản, được mô tả như sau: kẻ tấn công chỉ cần thêm một tệp AndroidManifest.xml giả vào gói ứng dụng (package), Sau đó, ngồi chờ dữ liệu bị đánh cắp được chuyển về.
Check Point giải thích rằng, lỗ hổng bảo mật này bắt nguồn từ công cụ APKTool và các nền tảng tương tự. Những công cụ này được dùng cho mục đích phân rã các tệp APK để kiểm tra tính tương thích với nền tảng và kiểm thử ứng dụng. Rất nhiều ứng dụng phổ biến thuộc dạng như trên không chặn được các thực thể XML tham chiếu ngoài (XXE), do đó cho phép kẻ xấu có thể xem toàn bộ nội dung trong máy tính của nạn nhân.
Để thực hiện tấn công này, kẻ tấn công cần tạo ra một tệp AndroidManifest.xml độc hại để khai thác lỗ hổng XXE. Dữ liệu từ máy tính của nạn nhân sẽ tự động chuyển tới cho chúng. Sau khi được tải trong một môi trường phát triển tích hợp có lỗ hổng, tệp XML độc hại sẽ chuyển bất kì tệp nào tới kẻ tấn công. Những tệp bị chuyển không chỉ hạn chế trong phạm vi của môi trường phát triển tích hợp, mà có thể là bất kỳ tệp nào trên máy.
Bên cạnh đó, các nhà nghiên cứu cũng phát hiện ra rằng, kẻ tấn công còn có thể đưa tệp XML độc hại vào các kho lưu trữ (repository) Android bên trong thư viện Android Archive Library (AAR). Sau khi được đọc từ kho lưu trữ, thư viện AAR và tệp XML độc hại bên trong nó sẽ lợi dụng lỗ hổng để đánh cắp bất kì dữ liệu nào.
Các nhà nghiên cứu của Check Point còn phát hiện thêm một lỗ hổng trên công cụ APKTool, cho phép thực thi lệnh bất kỳ trên máy tính bị ảnh hưởng. Những người dùng APKTool cao cấp có thể quen thuộc với đoạn UnknownFiles trong tệp APKTOOL.YML. Đó là một đoạn mã cho phép người dùng thêm mã lệnh từ một vị trí không điển hình và đặt nó vào đúng chỗ cần thiết khi tệp APK được biên dịch. Đó cũng là một cách khai thác lỗ hổng để thực thi mã từ xa. Theo CheckPoint, việc chỉnh sửa đoạn UnknownFiles cho phép chèn một tệp bất kỳ vào hệ thống tệp và sau đó đoạn lệnh có thể được thực thi. Lỗ hổng này ảnh hưởng tới những người vô tình dịch ngược một tệp APK độc hại.
Google, Jetbrains và nhóm phát triển APKTool đều khẳng định rằng họ đã khắc phục lỗ hổng này. Check Point cho biết, các công ty khác cũng đã vá lỗ hổng, nhưng không nói rõ đó là những công ty nào. Vì thế, để tránh bị ảnh hưởng, cách tốt nhất hiện nay là người dùng nên sử dụng những công cụ đã được vá lỗi.
Nguyễn Anh Tuấn
Theo Tech Republic
14:00 | 04/01/2018
09:00 | 08/01/2018
09:00 | 09/01/2018
08:00 | 29/11/2017
08:00 | 21/11/2017
14:00 | 17/11/2017
08:00 | 19/06/2018
11:00 | 08/04/2024
Cục An toàn thông tin, Bộ TT&TT vừa công bố cẩm nang một số biện pháp phòng chống, giảm thiểu rủi ro từ tấn công mã hóa tống tiền (ransomware) cho các cơ quan, tổ chức, doanh nghiệp.
09:00 | 02/04/2024
Một chuyên gia khôi phục dữ liệu người Đức đã xác nhận: Thẻ nhớ USB đang ngày càng kém tin cậy hơn. Nguyên nhân được cho là do chip bộ nhớ kém hơn, trong khi việc chuyển sang lưu trữ nhiều bit trên mỗi ô flash ảnh hưởng đến chất lượng của thẻ nhớ.
14:00 | 13/03/2024
Sáng ngày 13/3, tại Hà Nội, Đoàn công tác của Bộ Quốc phòng do Thượng tướng Lê Huy Vịnh, Ủy viên Ban Chấp hành Trung ương Đảng, Thứ trưởng Bộ Quốc phòng làm trưởng đoàn đến thăm và làm việc tại Học viện Kỹ thuật mật mã về công tác đào tạo nguồn nhân lực chuyển đổi số.
14:00 | 23/02/2024
Nhóm tin tặc mã độc tống tiền BlackCat đã bắt đầu lạm dụng các quy tắc báo cáo sự cố mạng của Ủy ban Chứng khoán và Giao dịch Mỹ (SEC) để gây áp lực lên các tổ chức từ chối đàm phán thanh toán tiền chuộc. Những kẻ tấn công đã nộp đơn khiếu nại lên SEC đối với một nạn nhân, trong một động thái có thể sẽ trở thành thông lệ sau khi các quy định mới đã có hiệu lực vào giữa tháng 12.
Ba Lan cho biết nhóm tin tặc APT28 có liên quan đến Cơ quan tình báo quân đội Nga (GRU) đã thực hiện các cuộc tấn công mạng nhắm mục tiêu vào các tổ chức chính phủ Ba Lan trong khoảng thời gian đầu tháng 5/2024.
08:00 | 15/05/2024
Trong 02 ngày 25-26/4, Đoàn công tác của Ban Cơ yếu Chính phủ do đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban làm Trưởng đoàn đã đến thăm và làm việc với các Tỉnh ủy: Đồng Nai, Bình Dương và Bình Phước về công tác cơ yếu, bảo mật và an toàn thông tin.
19:00 | 30/04/2024
Chiều ngày 16/5, tại Hà Nội, Tạp chí An toàn thông tin, Ban Cơ yếu Chính phủ đã có buổi làm việc với Viện Công nghệ Blockchain và trí tuệ nhân tạo, Hiệp hội Blockchain Việt Nam để cùng bàn về chương trình hoạt động hợp tác cụ thể trong thời gian tới.
08:00 | 17/05/2024