WhiteHat News #ID:1368
WhiteHat Support
-
04/06/2014
-
0
-
110 bài viết
Lỗ hổng “Fake ID” trên 82% thiết bị Android
Các nhà nghiên cứu của hãng bảo mật BlueBox mới đây đã công bố một lỗ hổng trên hệ điều hành của Google, ảnh hưởng đến tất cả các thiết bị chạy phiên bản Android từ 4.4 trở xuống, chiếm khoảng 82% tổng số người dùng Android hiện nay.
Lỗ hổng được đặt tên “Fake ID” tồn tại trong cách Android kiểm tra an ninh của các ứng dụng. Mỗi ứng dụng đều có một chữ ký mã hóa có chức năng kiểm soát việc cập nhật phiên bản cho ứng dụng, các quyền mà ứng dụng được cấp. Toàn bộ hệ thống Android hoạt động dựa trên một chuỗi các chứng thư nhận diện như thế này.
Với mỗi ứng dụng sẽ có 1 cặp chứng thư “cha – con” kiểm tra lẫn nhau mỗi khi ứng dụng được cài đặt nhằm đảm bảo cặp chứng thư khớp nhau và ứng dụng là đáng tin cậy. Chứng thư cha thường do nhà cung cấp ứng dụng tạo ra, được tích hợp vào hệ điều hành và có chức năng xác thực độ tin cậy của chứng thư con.
Về lý thuyết, cơ chế này đảm bảo an ninh cho thiết bị ở mức độ tương đối. Tuy nhiên, Bluebox khẳng định các phiên bản Android từ Kit Kat trở xuống không kiểm tra một cách chặt chẽ những chứng thư này, nghĩa là một chứng thư nhận dạng hoàn toàn có thể khai báo là một chứng thư khác.
Cơ chế kiểm tra lỏng lẻo của Android có thể bị kẻ xấu lợi dụng để giả mạo một chứng thư là do nguồn đáng tin cậy phát hành. Bluebox đã tiến hành thử nghiệm với chứng thư của Adobe Systems để lợi dụng các đặc quyền mà chứng thư cha có trên hệ điều hành Android. Chứng thư của Adobe Systems cho ứng dụng quyền tải các đoạn mã HTML trong tất cả các ứng dụng khác, và tin tặc có thể lợi dụng điều này để chạy các đoạn mã độc. Tương tự, chứng thư NFC (Near Field Communications. Tạm dịch: truyền thông phạm vi gần) có thể bị lợi dụng để truy cập vào Google Wallet (ứng dụng quản lý thông tin tài chính của người dùng) và đánh cắp các thông tin nhạy cảm.
Bluebox khẳng định lỗ hổng Fake ID xuất hiện trên các phiên bản Android từ 2.1 đến 4.4, tương đương 82,1% số thiết bị chạy hệ điều hành này. Google đã phát hành bản vá gửi đến các đối tác của Android và tới Dự án mã nguồn mở Android. Tuy nhiên việc vá lỗ hổng không phải một sớm một chiều, và trong lúc đó nếu bạn đang dùng Android từ Kit Kat trở xuống thì nên cẩn trọng khi cài đặt ứng dụng.
Nguồn: Gizmodo
Lỗ hổng được đặt tên “Fake ID” tồn tại trong cách Android kiểm tra an ninh của các ứng dụng. Mỗi ứng dụng đều có một chữ ký mã hóa có chức năng kiểm soát việc cập nhật phiên bản cho ứng dụng, các quyền mà ứng dụng được cấp. Toàn bộ hệ thống Android hoạt động dựa trên một chuỗi các chứng thư nhận diện như thế này.
Với mỗi ứng dụng sẽ có 1 cặp chứng thư “cha – con” kiểm tra lẫn nhau mỗi khi ứng dụng được cài đặt nhằm đảm bảo cặp chứng thư khớp nhau và ứng dụng là đáng tin cậy. Chứng thư cha thường do nhà cung cấp ứng dụng tạo ra, được tích hợp vào hệ điều hành và có chức năng xác thực độ tin cậy của chứng thư con.
Về lý thuyết, cơ chế này đảm bảo an ninh cho thiết bị ở mức độ tương đối. Tuy nhiên, Bluebox khẳng định các phiên bản Android từ Kit Kat trở xuống không kiểm tra một cách chặt chẽ những chứng thư này, nghĩa là một chứng thư nhận dạng hoàn toàn có thể khai báo là một chứng thư khác.
Cơ chế kiểm tra lỏng lẻo của Android có thể bị kẻ xấu lợi dụng để giả mạo một chứng thư là do nguồn đáng tin cậy phát hành. Bluebox đã tiến hành thử nghiệm với chứng thư của Adobe Systems để lợi dụng các đặc quyền mà chứng thư cha có trên hệ điều hành Android. Chứng thư của Adobe Systems cho ứng dụng quyền tải các đoạn mã HTML trong tất cả các ứng dụng khác, và tin tặc có thể lợi dụng điều này để chạy các đoạn mã độc. Tương tự, chứng thư NFC (Near Field Communications. Tạm dịch: truyền thông phạm vi gần) có thể bị lợi dụng để truy cập vào Google Wallet (ứng dụng quản lý thông tin tài chính của người dùng) và đánh cắp các thông tin nhạy cảm.
Bluebox khẳng định lỗ hổng Fake ID xuất hiện trên các phiên bản Android từ 2.1 đến 4.4, tương đương 82,1% số thiết bị chạy hệ điều hành này. Google đã phát hành bản vá gửi đến các đối tác của Android và tới Dự án mã nguồn mở Android. Tuy nhiên việc vá lỗ hổng không phải một sớm một chiều, và trong lúc đó nếu bạn đang dùng Android từ Kit Kat trở xuống thì nên cẩn trọng khi cài đặt ứng dụng.
Nguồn: Gizmodo
Chỉnh sửa lần cuối bởi người điều hành: