Hàng triệu người dùng phiên bản Android cũ có thể sẽ chịu ảnh hưởng từ một lỗ hổng nằm trong thiết kế phần mềm của chính Google.

Lỗ hổng bảo mật nghiêm trọng đe dọa 82 máy Android

Công ty bảo mật Bluebox Labs cho biết lỗ hổng có tên Fake ID cho phép ứng dụng độc hại có thể giả danh các ứng dụng "chính hãng" từ các nhà phát triển đáng tin cậy. Ngay sau khi thông tin về Fake ID xuất hiện, Google đưa ra tuyên bố đã vá lỗ hổng này từ tháng 4 vừa qua.

Do bản vá của Google được thực hiện trên 4.4 KitKat, tất cả những người dùng sử dụng các phiên bản từ 2.1 đến 4.4 (cập nhật trước tháng 4) sẽ bị Fake ID đe dọa. Tuy nhiên, điều này cũng có nghĩa rằng có tới hơn 82% người dùng Android vẫn bị Fake ID đe dọa.

Trong bài viết blog về lỗ hổng này, Bluebox cho biết lỗ hổng đến từ chính thiết kế bảo mật trên Android: mỗi ứng dụng sẽ được cung cấp một "chữ ký mã hóa" riêng. Chữ ký này sẽ cho phép người dùng quyết định các quyền hạn của ứng dụng trên thiết bị Android.

Để được cung cấp chữ ký mã hóa cần thiết, các ứng dụng sẽ cần tới các certificate (chứng thực) danh tính vốn được cấp phát bởi các đơn vị đáng tin tưởng (ví dụ như Google). Điều này sẽ đảm bảo rằng ứng dụng đang được bảo vệ và quản lý bởi một tổ chức đáng tin cậy.

Lỗ hổng bảo mật nghiêm trọng đe dọa 82 máy Android

Cụ thể hơn, sẽ có 2 loại chứng thực được sử dụng: chứng thực cha (parent certificate) và chứng thực con (child certificate). Thông thường, chứng thực cha sẽ được các nhà phát triển ứng dụng phát hành. Trong quá trình cài đặt, 2 chứng thực này sẽ được so sánh với nhau để quyết định xem ứng dụng mà bạn sử dụng có đáng tin cậy hay không.

Về lý thuyết, cơ chế bảo vệ này khá an toàn, song theo tuyên bố của Bluebox Labs, toàn bộ cơ chế chữ ký này đã bị vượt qua. Lý do là bởi Android chưa có một hệ thống quản lý chữ ký hợp lý, có đủ các khâu kiểm tra cần thiết. "Nói cách khác, một mã định danh có thể giả mạo là một mã định danh khác, và mã hóa Android sẽ không kiểm tra các certificate nữa", đại diện Bluebox Labs nhận định.

Trong trường hợp một số chữ ký số được cung cấp các quyền cụ thể, vấn đề sẽ càng trở nên trầm trọng. Ví dụ, ứng dụng có chứng thực cha từ Adobe Systems có thể khởi động một plugin nền web để mở mã HTML trong các ứng dụng khác. Trong trường hợp này, hacker có thể tạo ra một chứng thực có vẻ như đã được phát hành bởi Adobe và xác thực cho chứng thực cha của một ứng dụng chứa mã độc. Ứng dụng chứa mã độc sẽ có tất cả các quyền được cung cấp cho phần mềm của Adobe.

Lỗ hổng bảo mật nghiêm trọng đe dọa 82 máy Android

Từ đây, hacker có thể mở plug web từ một ứng dụng độc và đưa chúng lên điện thoại Android của người dùng. Nguy hiểm hơn, kẻ xấu có thể sử dụng chữ ký NFC để được cấp quyền dành riêng cho Google Wallet. Bằng cách này, thông tin tài chính của người dùng sẽ bị ảnh hưởng.

"Vấn đề trở nên nguy hiểm do rất nhiều đối tượng xấu có thể cấp quyền cho ứng dụng Android. Hacker có thể tạo ra một ứng dụng độc với rất nhiều bản ghi giả và có nhiều cơ hội đánh cắp dữ liệu hơn từ các chữ ký được mã hóa", Bluebox Labs cho biết.

Đại diện chính thức của Google cho biết sau khi Bluebox Labs công bố thông tin này, Google đang gấp rút phát hành bản vá tới tất cả các đối tác Android và cả dự án Android Open Source Project.

"Google Play và Verify Apps cũng đã được tăng cường để bảo vệ người dùng khỏi vấn nạn này. Tại thời điểm hiện tại, chúng tôi đã quét tất cả các ứng dụng được đưa lên Google Play và chưa thấy dấu hiệu lợi dụng lỗ hổng này", Google khẳng định.

Theo: Vnreview
Bạn đang trả lời thảo luận của: ( Thôi )

(Vui lòng đăng nhập trước để có thể gửi thảo luận, chia sẻ kinh nghiệm hoặc đặt câu hỏi)

Tin App | 04-08-2014
Trong thời gian ngắn trở lại đây, ở Việt Nam đã ghi nhận được không ít trường hợp UFO "ghé thăm" và bị chụp hình, tuy nhiên những bức ảnh này thực ra c...
Tin Tức | 04-08-2014
Google Maps có lẽ là một trong những dịch vụ bản đồ được sử dụng phổ biến nhất. Dữ liệu của Maps tại Việt Nam tương đối đầy đủ, độ chi tiết cao và tình...
Thủ Thuật | 03-08-2014
Không cần smartphone có camera khủng, người dùng Android vẫn có thể chụp được tấm ảnh đẹp nếu làm theo một số lời khuyên dưới đây.
Đánh Giá | 03-08-2014
Samsung Galaxy Avant có thiết kế trẻ trung, năng động cùng với cấu hình khá, hỗ trợ mạng LTE và RAM dung lượng cao. Smartphone này được ra mắt ở Mỹ dàn...
Thủ Thuật | 03-08-2014
Chỉ bằng một vài thao tác đơn giản trên chiếc ZenFone của mình, bạn hoàn toàn có thể lưu lại các ảnh chụp màn hình theo ý muốn để sử dụng.
Thủ Thuật | 03-08-2014
Chomobi hướng dẫn các bạn sử dụng các dịch vụ của Google (Google Services) giảm bớt việc hao pin và sử dụng hiệu quả hơn các dịch vụ đó.
Đánh Giá | 03-08-2014
Pantech Pop Up Note là sản phẩm cao cấp nhất của Pentech, có thiết kế khá đẹp, nam tính và dễ thao tác với màn hình lớn. Smartphone này có một bút cảm...
Thủ Thuật | 03-08-2014
Làm sao để in từ smartphone, tablet Android là nhu cầu của nhiều người. Có một cách giúp in ấn trực tiếp từ smartphone qua wifi thông qua 1 ứng dụng có...