Lỗ hổng được đặt tên là Janus, cho phép kẻ tấn công sửa đổi mã ứng dụng Android mà không ảnh hưởng đến chứng thư xác minh của các ứng dụng đó. Từ đó, tin tặc có thể phát tán ứng dụng hợp pháp đã được chèn thêm mã độc.
Lỗ hổng CVE-2017-13156 được các chuyên gia của công ty bảo mật di động GuardSquare (Bỉ) phát hiện, thông báo tới Google và được vá cùng một số lỗ hổng khác trong bản cập nhật tháng 12 của Google.
Tuy nhiên, điều đáng lo ngại là phần lớn người dùng Android chưa nhận được các bản vá này cho đến khi các nhà sản xuất thiết bị đưa ra bản cập nhật. Điều này có nghĩa là, một số lượng lớn người dùng smartphone có thể bị tin tặc tấn công qua khai thác lỗ hổng này.
Lỗ hổng ảnh hưởng đến các ứng dụng sử dụng lược đồ ký số APK v1 được cài đặt trên các thiết bị chạy Android phiên bản 5.0 (Lollipop) và 6.0 (Marshmallow).
Cách thức hoạt động của Janus
Lỗ hổng tồn tại trong cách thức Android xử lý cài đặt APK, cho phép thêm mã vào tệp APK mà không ảnh hưởng đến chữ ký của ứng dụng. Tệp APK hợp lệ là loại tệp lưu trữ (archive) bao gồm mã ứng dụng, tài nguyên, chữ ký, chứng chỉ và tệp kê khai.
Các phiên bản trước của hệ điều hành Android 5.0 (Lollipop) và 6.0 (Marshmallow) cũng hỗ trợ một máy ảo tiến trình giúp thực thi các tệp lưu trữ APK chứa mã và tệp ứng dụng được nén với định dạng DEX (Dalvik Executable).
Khi người dùng cài đặt ứng dụng Android hoặc bản cập nhật, thiết bị sẽ kiểm tra thông tin tiêu đề của APK để xác định xem archive có chứa mã trong tệp DEX đã nén hay không. Nếu tiêu đề archive APK chứa tệp DEX, máy ảo tiến trình sẽ dịch ngược mã và thực hiện, nếu không sẽ chạy mã như tệp APK thông thường. Một archive APK có thể chứa đồng thời các tệp DEX cũng như mã ứng dụng thông thường, mà không ảnh hưởng đến hiệu lực và chữ ký của nó.
Các chuyên gia nhận thấy, việc có thể thêm dung lượng mã do thiếu kiểm tra toàn vẹn tệp tin cho phép kẻ tấn công chèn mã độc vào archive APK, sau đó lừa người dùng cài đặt ứng dụng để thực thi cả hai mã trên thiết bị đích mà không bị phát hiện. Nói cách khác, thay vì phải chỉnh sửa mã ứng dụng hợp pháp, lỗ hổng cho phép kẻ tấn công chèn một số dòng mã độc hại vào ứng dụng ban đầu.
Kịch bản tấn công
Sau khi tạo ra các phiên bản ứng dụng độc hại, tin tặc có thể phát tán bằng các phương thức khác nhau như thư rác, phát tán trên kho ứng dụng bên thứ ba, đưa ra bản cập nhật giả mạo và cả tấn công Man-in-the-Middle (MITM).
Theo các chuyên gia, việc lừa một số người dùng tương đối dễ dàng vì ứng dụng vẫn giống ban đầu và có chữ ký hợp lệ. Cũng theo các chuyên gia, tấn công MITM có vẻ hấp dẫn hơn vì cho phép tin tặc đẩy bộ cài cho các ứng dụng cập nhật thông qua kết nối HTTP không mã hóa.
GuardSquare giải thích rằng: khi người sử dụng tải xuống một bản cập nhật của một ứng dụng, Android runtime sẽ so sánh chữ ký của ứng dụng đó với chữ ký của phiên bản gốc. Nếu chữ ký phù hợp, Android runtime sẽ tiến hành cài đặt bản cập nhật.
Ứng dụng được cập nhật kế thừa quyền của ứng dụng gốc. Do đó, kẻ tấn công có thể sử dụng lỗ hổng Janus để đánh lừa quá trình cập nhật và lấy được mã với các quyền truy cập trên thiết bị mà người dùng không nghi ngờ.
Các công cụ kỹ thuật dịch ngược phổ biến không giải mã được đoạn mã độc. Người dùng nên thận trọng khi tải các ứng dụng và cập nhật.
Vì lỗ hổng không ảnh hưởng đến Android 7.0 (Nougat) và phiên bản mới nhất hỗ trợ định dạng chữ ký APK phiên bản 2, nên người dùng đang chạy các phiên bản Android cũ hơn nên nâng cấp hệ điều hành thiết bị của mình.
Trong trường hợp nhà sản xuất thiết bị chưa cung cấp các bản vá bảo mật, hoặc phiên bản Android mới nhất, thì người dùng không nên cài đặt ứng dụng và bản cập nhật ngoài Google Play để giảm thiểu nguy cơ bị tấn công.
Các chuyên gia cũng khuyến cáo các nhà phát triển Android nên áp dụng ký số v2 để đảm bảo ứng dụng không bị chèn mà độc.
Hồng Loan
Theo The Hacker News
14:00 | 17/11/2017
07:00 | 29/12/2017
15:00 | 29/12/2017
09:00 | 08/01/2018
08:00 | 29/12/2017
09:00 | 03/11/2017
14:00 | 22/09/2017
14:00 | 04/01/2018
09:00 | 21/08/2018
08:00 | 11/01/2024
Các nhà nghiên cứu bảo mật từ Đại học Ruhr Bochum (Đức) phát hiện ra một lỗ hổng trong giao thức mạng mật mã Secure Shell (SSH) có thể cho phép kẻ tấn công hạ cấp bảo mật của kết nối bằng cách phá vỡ tính toàn vẹn của kênh an toàn.
16:00 | 12/05/2023
Cho đến đầu năm nay, ứng dụng phần mềm mã nguồn mở Apache Superset vẫn xuất xưởng với cấu hình mặc định không an toàn mà kẻ xấu có thể khai thác để đăng nhập và chiếm lấy ứng dụng trực quan hóa dữ liệu, đánh cắp dữ liệu và thực thi mã độc.
12:00 | 10/03/2023
Verichains cảnh báo lỗ hổng bảo mật nghiêm trọng trong thư viện nền tảng Tendermint Core, có thể dẫn đến thiệt hại tài sản với các dự án Blockchain nổi tiếng.
10:00 | 03/03/2023
Công ty phần mềm quản lý mật khẩu LastPass cho biết, máy tính cá nhân tại nhà của một trong bốn kỹ sư DevOps cấp cao của họ đã bị tin tặc tấn công và cài phần mềm độc hại theo dõi thao tác bàn phím nhằm lấy cắp dữ liệu của công ty từ tài nguyên lưu trữ đám mây.
Trên trang web của RansomHub, nhóm tin tặc tống tiền này đã công bố một số dữ liệu đã đánh cắp từ công ty con Change Healthcare của United Health. Đây là hành động nhằm mục đích yêu cầu công ty chăm sóc sức khỏe của Hoa Kỳ phải đáp ứng những điều khoản trong thỏa thuận tống tiền của tin tặc.
12:00 | 06/05/2024