Hàng triệu người dùng phiên bản Android cũ có thể sẽ chịu ảnh hưởng từ một lỗ hổng nằm trong thiết kế phần mềm của chính Google. Điều gì đang sảy đến khi lỗ hổng bảo mật xuất hiện đối với hàng loạt người dùng smartphone android

hong-1.jpg

Công ty bảo mật Bluebox Labs cho biết lỗ hổng có tên Fake ID cho phép ứng dụng độc hại có thể giả danh các ứng dụng "chính hãng" từ các nhà phát triển đáng tin cậy. Ngay sau khi thông tin về Fake ID xuất hiện, Google đưa ra tuyên bố đã vá lỗ hổng này từ tháng 4 vừa qua.

Do bản vá của Google được thực hiện trên 4.4 KitKat, tất cả những người dùng sử dụng các phiên bản từ 2.1 đến 4.4 (cập nhật trước tháng 4) sẽ bị Fake ID đe dọa. Tuy nhiên, điều này cũng có nghĩa rằng có tới hơn 82% người dùng Android vẫn bị Fake ID đe dọa.

Trong bài viết blog về lỗ hổng này, Bluebox cho biết lỗ hổng đến từ chính thiết kế bảo mật trên Android: mỗi ứng dụng sẽ được cung cấp một "chữ ký mã hóa" riêng. Chữ ký này sẽ cho phép người dùng quyết định các quyền hạn của ứng dụng trên thiết bị Android.

Để được cung cấp chữ ký mã hóa cần thiết, các ứng dụng sẽ cần tới các certificate (chứng thực) danh tính vốn được cấp phát bởi các đơn vị đáng tin tưởng (ví dụ như Google). Điều này sẽ đảm bảo rằng ứng dụng đang được bảo vệ và quản lý bởi một tổ chức đáng tin cậy.

hong-2.jpg

Cụ thể hơn, sẽ có 2 loại chứng thực được sử dụng: chứng thực cha (parent certificate) và chứng thực con (child certificate). Thông thường, chứng thực cha sẽ được các nhà phát triển ứng dụng phát hành. Trong quá trình cài đặt, 2 chứng thực này sẽ được so sánh với nhau để quyết định xem ứng dụng mà bạn sử dụng có đáng tin cậy hay không.

Về lý thuyết, cơ chế bảo vệ này khá an toàn, song theo tuyên bố của Bluebox Labs, toàn bộ cơ chế chữ ký này đã bị vượt qua. Lý do là bởi Android chưa có một hệ thống quản lý chữ ký hợp lý, có đủ các khâu kiểm tra cần thiết. "Nói cách khác, một mã định danh có thể giả mạo là một mã định danh khác, và mã hóa Android sẽ không kiểm tra các certificate nữa", đại diện Bluebox Labs nhận định.

Trong trường hợp một số chữ ký số được cung cấp các quyền cụ thể, vấn đề sẽ càng trở nên trầm trọng. Ví dụ, ứng dụng có chứng thực cha từ Adobe Systems có thể khởi động một plugin nền web để mở mã HTML trong các ứng dụng khác. Trong trường hợp này, hacker có thể tạo ra một chứng thực có vẻ như đã được phát hành bởi Adobe và xác thực cho chứng thực cha của một ứng dụng chứa mã độc. Ứng dụng chứa mã độc sẽ có tất cả các quyền được cung cấp cho phần mềm của Adobe.

hong3.jpg

Từ đây, hacker có thể mở plug web từ một ứng dụng độc và đưa chúng lên điện thoại Android của người dùng. Nguy hiểm hơn, kẻ xấu có thể sử dụng chữ ký NFC để được cấp quyền dành riêng cho Google Wallet. Bằng cách này, thông tin tài chính của người dùng sẽ bị ảnh hưởng.

"Vấn đề trở nên nguy hiểm do rất nhiều đối tượng xấu có thể cấp quyền cho ứng dụng Android. Hacker có thể tạo ra một ứng dụng độc với rất nhiều bản ghi giả và có nhiều cơ hội đánh cắp dữ liệu hơn từ các chữ ký được mã hóa", Bluebox Labs cho biết.

Đại diện chính thức của Google cho biết sau khi Bluebox Labs công bố thông tin này, Google đang gấp rút phát hành bản vá tới tất cả các đối tác Android và cả dự án Android Open Source Project.

"Google Play và Verify Apps cũng đã được tăng cường để bảo vệ người dùng khỏi vấn nạn này. Tại thời điểm hiện tại, chúng tôi đã quét tất cả các ứng dụng được đưa lên Google Play và chưa thấy dấu hiệu lợi dụng lỗ hổng này", Google khẳng định.