Lỗ hổng được đặt tên là Janus, cho phép kẻ tấn công sửa đổi mã ứng dụng Android mà không ảnh hưởng đến chứng thư xác minh của các ứng dụng đó. Từ đó, tin tặc có thể phát tán ứng dụng hợp pháp đã được chèn thêm mã độc.
Lỗ hổng CVE-2017-13156 được các chuyên gia của công ty bảo mật di động GuardSquare (Bỉ) phát hiện, thông báo tới Google và được vá cùng một số lỗ hổng khác trong bản cập nhật tháng 12 của Google.
Tuy nhiên, điều đáng lo ngại là phần lớn người dùng Android chưa nhận được các bản vá này cho đến khi các nhà sản xuất thiết bị đưa ra bản cập nhật. Điều này có nghĩa là, một số lượng lớn người dùng smartphone có thể bị tin tặc tấn công qua khai thác lỗ hổng này.
Lỗ hổng ảnh hưởng đến các ứng dụng sử dụng lược đồ ký số APK v1 được cài đặt trên các thiết bị chạy Android phiên bản 5.0 (Lollipop) và 6.0 (Marshmallow).
Cách thức hoạt động của Janus
Lỗ hổng tồn tại trong cách thức Android xử lý cài đặt APK, cho phép thêm mã vào tệp APK mà không ảnh hưởng đến chữ ký của ứng dụng. Tệp APK hợp lệ là loại tệp lưu trữ (archive) bao gồm mã ứng dụng, tài nguyên, chữ ký, chứng chỉ và tệp kê khai.
Các phiên bản trước của hệ điều hành Android 5.0 (Lollipop) và 6.0 (Marshmallow) cũng hỗ trợ một máy ảo tiến trình giúp thực thi các tệp lưu trữ APK chứa mã và tệp ứng dụng được nén với định dạng DEX (Dalvik Executable).
Khi người dùng cài đặt ứng dụng Android hoặc bản cập nhật, thiết bị sẽ kiểm tra thông tin tiêu đề của APK để xác định xem archive có chứa mã trong tệp DEX đã nén hay không. Nếu tiêu đề archive APK chứa tệp DEX, máy ảo tiến trình sẽ dịch ngược mã và thực hiện, nếu không sẽ chạy mã như tệp APK thông thường. Một archive APK có thể chứa đồng thời các tệp DEX cũng như mã ứng dụng thông thường, mà không ảnh hưởng đến hiệu lực và chữ ký của nó.
Các chuyên gia nhận thấy, việc có thể thêm dung lượng mã do thiếu kiểm tra toàn vẹn tệp tin cho phép kẻ tấn công chèn mã độc vào archive APK, sau đó lừa người dùng cài đặt ứng dụng để thực thi cả hai mã trên thiết bị đích mà không bị phát hiện. Nói cách khác, thay vì phải chỉnh sửa mã ứng dụng hợp pháp, lỗ hổng cho phép kẻ tấn công chèn một số dòng mã độc hại vào ứng dụng ban đầu.
Kịch bản tấn công
Sau khi tạo ra các phiên bản ứng dụng độc hại, tin tặc có thể phát tán bằng các phương thức khác nhau như thư rác, phát tán trên kho ứng dụng bên thứ ba, đưa ra bản cập nhật giả mạo và cả tấn công Man-in-the-Middle (MITM).
Theo các chuyên gia, việc lừa một số người dùng tương đối dễ dàng vì ứng dụng vẫn giống ban đầu và có chữ ký hợp lệ. Cũng theo các chuyên gia, tấn công MITM có vẻ hấp dẫn hơn vì cho phép tin tặc đẩy bộ cài cho các ứng dụng cập nhật thông qua kết nối HTTP không mã hóa.
GuardSquare giải thích rằng: khi người sử dụng tải xuống một bản cập nhật của một ứng dụng, Android runtime sẽ so sánh chữ ký của ứng dụng đó với chữ ký của phiên bản gốc. Nếu chữ ký phù hợp, Android runtime sẽ tiến hành cài đặt bản cập nhật.
Ứng dụng được cập nhật kế thừa quyền của ứng dụng gốc. Do đó, kẻ tấn công có thể sử dụng lỗ hổng Janus để đánh lừa quá trình cập nhật và lấy được mã với các quyền truy cập trên thiết bị mà người dùng không nghi ngờ.
Các công cụ kỹ thuật dịch ngược phổ biến không giải mã được đoạn mã độc. Người dùng nên thận trọng khi tải các ứng dụng và cập nhật.
Vì lỗ hổng không ảnh hưởng đến Android 7.0 (Nougat) và phiên bản mới nhất hỗ trợ định dạng chữ ký APK phiên bản 2, nên người dùng đang chạy các phiên bản Android cũ hơn nên nâng cấp hệ điều hành thiết bị của mình.
Trong trường hợp nhà sản xuất thiết bị chưa cung cấp các bản vá bảo mật, hoặc phiên bản Android mới nhất, thì người dùng không nên cài đặt ứng dụng và bản cập nhật ngoài Google Play để giảm thiểu nguy cơ bị tấn công.
Các chuyên gia cũng khuyến cáo các nhà phát triển Android nên áp dụng ký số v2 để đảm bảo ứng dụng không bị chèn mà độc.
Hồng Loan
Theo The Hacker News
14:00 | 17/11/2017
07:00 | 29/12/2017
15:00 | 29/12/2017
09:00 | 08/01/2018
08:00 | 29/12/2017
09:00 | 03/11/2017
14:00 | 22/09/2017
14:00 | 04/01/2018
09:00 | 21/08/2018
19:00 | 30/04/2024
DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.
09:00 | 28/02/2024
Đội ngũ chuyên gia an ninh mạng tại Kaspersky liên tục theo dõi sự phức tạp của các mối đe dọa đối với tổ chức tài chính, bao gồm cả ngân hàng và các mối đe dọa có động cơ tài chính như phần mềm tống tiền đang lan rộng đến nhiều ngành công nghiệp khác nhau. Trong bài viết này, các chuyên gia bảo mật Kaspersky sẽ đánh giá lại các dự đoán của họ trong năm 2023 và đưa ra những xu hướng dự kiến sẽ nổi lên trong năm 2024.
08:00 | 11/01/2024
Các nhà nghiên cứu bảo mật từ Đại học Ruhr Bochum (Đức) phát hiện ra một lỗ hổng trong giao thức mạng mật mã Secure Shell (SSH) có thể cho phép kẻ tấn công hạ cấp bảo mật của kết nối bằng cách phá vỡ tính toàn vẹn của kênh an toàn.
09:00 | 08/12/2023
Để bổ sung thêm những tính năng dành cho các nền tảng ứng dụng nhắn tin hiện nay, các nhà phát triển bên thứ ba đã đưa ra các bản mod (phiên bản sửa đổi của ứng dụng không chính thức) cung cấp các tính năng mới bên cạnh những nâng cấp về mặt giao diện. Tuy nhiên, một số mod này có thể chứa phần mềm độc hại cùng với các cải tiến hợp pháp. Một trường hợp điển hình đã xảy ra vào năm ngoái khi các nhà nghiên cứu Kaspersky phát hiện ra Trojan Triada bên trong bản mod WhatsApp. Gần đây, các nhà nghiên cứu đã phát hiện một bản mod Telegram có module gián điệp được nhúng và phân phối thông qua Google Play. Câu chuyện tương tự hiện tại xảy ra với WhatsApp, khi một số bản mod trước đây đã được phát hiện có chứa module gián điệp có tên là Trojan-Spy.AndroidOS.CanesSpy.
DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.
19:00 | 30/04/2024