Tuần vừa qua chính là tuần đen tối về bảo mật với Android

Đây đúng là một tuần tồi tệ cho hàng triệu người dùng Android. Hai lỗ hổng nghiêm trọng đã được phát hiện nhưng vẫn chưa có bản vá trong phần lớn các thiết bị. Trong lúc đó, các ứng dụng độc hại đã được tải về khoảng 2,5 triệu lần từ chợ ứng dụng chính thức của Google.

Mặc dù vào thứ Ba vừa qua, Google đã phát hành các bản cập nhật để sửa chữa các lỗ hổng này, vốn có nhiều điểm tương tự với các lỗi thuộc họ Stagefright đã bị tiết lộ vào năm ngoái. Tuy nhiên, một tỷ lệ lớn các thiết bị Android lại không đủ điều kiện để nhận các bản sửa lỗi này. Ngay cả với những thiết bị đủ điều kiện, chúng cũng không được nhận ngay lập tức. Vì vậy, điều này không khác đưa cho những kẻ tấn công bản kế hoạch thô để chúng có thể khai thác các lỗ hổng vẫn chưa được vá trên hàng triệu thiết bị.

“Lỗi cực kỳ nghiêm trọng”

Lỗ hổng đầu tiên được tiết lộ bởi Mark Brand, một nhà nghiên cứu thuộc nhóm bảo mật Project Zero của Google. Được đặt tên là CVE 2016-3861, nó cho phép những kẻ tấn công chạy các malware hoặc mở rộng quyền ưu tiên nội bộ trên chiếc điện thoại bị tổn thương. Brand cảnh báo rằng nó là “một lỗi cực kỳ nghiêm trọng” bởi vì nó có thể được khai thác theo rất nhiều cách khác nhau.

Ông cũng cho rằng CVE 2016-3861 không quá khó để phát hiện, do vậy cũng có thể những nhà nghiên cứu khác cũng đã biết về nó. Brand cũng không nói chính xác phiên bản Android nào xuất hiện lỗ hổng mã thực thi này, nhưng ông cũng chỉ ra rằng nó hiện diện trong ít nhất một vài phiên bản gần đây nhất.

“Trong thử nghiệm của tôi, việc khai thác lỗi này có thể thực hiện nhanh và ổn định trên hàng loạt phiên bản gần đây của Android cho chiếc Nexus 5X.” Ông cho biết trong một bài đăng trên blog vào thứ Tư vừa qua. “Việc khai thác có thể được thực hiện nhanh hơn bằng cách trực tiếp tạo ra các file khai thác trong javascript, giảm việc truy cập không cần thiết vào mạng lưới chỉ để lấy về các file mp4 chính xác.”

Bản cập nhật này của Android cũng vá một lỗ hổng nghiêm trọng khác, tương tự như Stagefright. Với mã số CVE-2016-3862, nó có thể được khai thác bằng cách gửi đi một file ảnh jpeg độc hại. Khi gửi qua Gmail hay Google Talk, mã độc sẽ được ẩn giấu bên trong dữ liệu Exif của bức ảnh. Mục tiêu không cần click vào bất cứ thứ gì cũng có thể bị tấn công.

“Với một kẻ tấn công cao cấp, việc tìm kiếm và khai thác lỗ hổng này là rất dễ dàng,” Tim Strazzerem giám đốc nghiên cứu về Mobile tại SentinelOne, và là nhà nghiên cứu đã thông báo lỗi này cho Google, nới với Threatpost. “Bạn sẽ truy cập được vào bất cứ thứ gì mà ứng dụng này đã truy cập được hoặc tận dụng mọi lỗ hổng khai thác để giành quyền ưu tiên hoặc quyền root của hệ thống.”

Tuần vừa rồi, hãng bảo mật Checkpoint cũng tiết lộ rằng họ đã phát hiện một số ứng dụng, nhiều ứng dụng mới xuất hiện từ tháng Tư, đã được tải xuống từ Google Play khoảng 2,5 triệu lần. Dường như một malware thuộc họ DressCode được sử dụng để tạo ra các lượt click gian lận trong quảng cáo, nhưng các nhà nghiên cứu tại Checkpoint cho biết nó cũng có thể được sử dụng để tấn công mạng nội bộ và lấy trộm các tập tin nhạy cảm. DressCode đã được tìm thấy trong hơn 40 ứng dụng trên Google Play, chúng được tải xuống từ 500.000 đến 2 triệu lần.

Trong một báo cáo riêng biệt vào thứ Năm vừa rồi, Checkpoint tiết lộ một ứng dụng chứa mã độc có thể chuyển hướng điện thoại bị nhiễm tới các website nhằm gian lận lượng truy cập. Còn được biết với cái tên CallJam, malware này cũng bao gồm các mã độc để điện thoại gọi điện đến các số phải trả phí, cho dù khả năng này chỉ có thể được kích hoạt sau khi nhận được sự cho phép của người dùng cuối.

CallJam được nhúng trong một ứng dụng có tên gọi “Gems Chest for Clash Royale,” đã được tải về từ khoảng 100.000 đến 500.000 lần. Ứng dụng này, cũng như các ứng dụng có chứa mã DressCode, đã bị xóa khỏi Google Play sau khi báo cáo được công bố.

Tham khảo Arstechnica