Kiểu tấn công này được đặt tên là Man-in-the-Disk (MitD), lợi dụng cách các ứng dụng Android sử dụng hệ thống lưu trữ ngoài (thẻ nhớ) để lưu trữ dữ liệu ứng dụng. Những dữ liệu này có thể bị chỉnh sửa để chèn mã trong phạm vi đặc quyền của ứng dụng bị tấn công.
Hệ điều hành Android lưu trữ tài nguyên trong thiết bị tại hai vị trí: kho lưu trữ trong và kho lưu trữ ngoài. Google khuyến cáo các nhà phát triển ứng dụng Android sử dụng kho lưu trữ trong, nơi mà mỗi ứng dụng được cấp một vùng riêng và được bảo vệ bằng cơ chế sandbox của Android để lưu dữ liệu. Tuy nhiên, rất nhiều ứng dụng phổ biến như Google Translate, Yandex Translate, Google Voice Typing, Google Text-to-Speech, Xiaomi Browser đang sử dụng kho lưu trữ ngoài – nơi không được bảo vệ và có thể được truy cập bởi bất kỳ ứng dụng nào được cài đặt trên cùng thiết bị.
Tương tự như kiểu tấn công Man-in-the-Middle, MitD liên quan tới việc chặn bắt và sửa đổi dữ liệu đang được trao đổi giữa kho lưu trữ ngoài và ứng dụng. Nếu dữ liệu trao đổi bị thay thế bằng một phiên bản sửa đổi khéo léo, người dùng sẽ gặp phải những hậu quả xấu.
Ví dụ, các nhà nghiên cứu nhận thấy trình duyệt web Xiaomi tải bản cập nhật của nó xuống kho lưu trữ ngoài trước khi cài đặt. Do ứng dụng không kiểm tra được tính toàn vẹn của dữ liệu, nên mã cập nhật hợp lệ có thể bị thay thế bằng mã độc và kết quả một phiên bản độc hại vào máy người dùng có thể được cài đặt. Ngoài ra, tin tặc có thể cài đặt thêm các ứng dụng độc hại khác trên thiết bị một cách thầm lặng mà người dùng không hề hay biết. Trong khi đó, ứng dụng độc hại sẽ được sử dụng để leo thang đặc quyền và giành quyền truy cập tới các cấu phần khác của thiết bị như máy ảnh, microphone hay dữ liệu người dùng như danh bạ.…
Bản thân Google không tuân theo hướng dẫn an ninh của họ nhưng đã thừa nhận vấn đề, sửa chữa một số ứng dụng bị ảnh hưởng và đang sửa tiếp các ứng dụng khác. Ngoài Google, các nhà nghiên cứu đã thông báo cho những công ty phát triển ứng dụng về kiểu tấn công mới và việc ứng dụng của họ có thể bị ảnh hưởng. Tuy nhiên, một số nhà phát triển trong đó có Xiaomi vẫn từ chối sửa lỗi.
Các nhà nghiên cứu của Check Point nhấn mạnh rằng, họ mới chỉ kiểm tra một số lượng nhỏ các ứng dụng và cho rằng kiểu tấn công này có thể ảnh hưởng đến rất nhiều ứng dụng Android khác, khiến hàng triệu người dùng đối mặt với nguy cơ mất an toàn.
Nguyễn Anh Tuấn
Theo The Hacker News
10:00 | 28/06/2018
08:00 | 11/06/2018
09:00 | 31/05/2018
10:00 | 22/04/2024
Trong một xu hướng đáng lo ngại được Bitdefender Labs (Hoa Kỳ) phát hiện gần đây, tin tặc đang tận dụng sự quan tâm ngày càng tăng đối với AI để phát tán các phần mềm độc hại tinh vi. Những kẻ tấn công này đang tung ra các chiến dịch quảng cáo độc hại trên mạng xã hội, giả dạng các dịch vụ AI phổ biến như Midjourney, DALL-E và ChatGPT để đánh lừa người dùng.
14:00 | 11/04/2024
RisePro là một trình đánh cắp thông tin dưới dạng dịch vụ, được phát hiện lần đầu tiên vào năm 2022. Tuy nhiên, mới đây phần mềm độc hại này đã xuất hiện trở lại với mã hóa chuỗi mới. Các nhà nghiên cứu tới từ công ty an ninh mạng G Data CyberDefense AG (Đức) tìm thấy một số kho GitHub cung cấp phần mềm bẻ khóa được sử dụng để phân phối RisePro.
13:00 | 26/02/2024
Tin tặc Nga có thể có liên quan đến cuộc tấn công mạng lớn nhất nhằm vào cơ sở hạ tầng quan trọng của Đan Mạch, 22 công ty liên quan đến hoạt động của ngành năng lượng của nước này đã bị nhắm mục tiêu vào tháng 5/2023.
08:00 | 06/02/2024
GitLab vừa phát hành các bản vá lỗi để giải quyết một lỗ hổng bảo mật nghiêm trọng trong phiên bản dành cho cộng đồng (CE) và phiên bản dành cho doanh nghiệp (EE). Lỗ hổng có thể bị khai thác để ghi các tệp tùy ý trong khi tạo workspace.
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024