Những lập trình viên Android, Java sử dụng các môi trường phát triển tích hợp (IDE) phổ biến như Google Android Studio, IntelliJ hay Eclipse, cũng như những người sử dụng các công cụ dịch ngược tệp APK như APKTool hay Cuckoo-Droid có thể bị đánh cắp dữ liệu, kiểm soát máy tính và thực thi mã độc từ xa. Cách thực hiện tấn công này rất đơn giản, được mô tả như sau: kẻ tấn công chỉ cần thêm một tệp AndroidManifest.xml giả vào gói ứng dụng (package), Sau đó, ngồi chờ dữ liệu bị đánh cắp được chuyển về.
Check Point giải thích rằng, lỗ hổng bảo mật này bắt nguồn từ công cụ APKTool và các nền tảng tương tự. Những công cụ này được dùng cho mục đích phân rã các tệp APK để kiểm tra tính tương thích với nền tảng và kiểm thử ứng dụng. Rất nhiều ứng dụng phổ biến thuộc dạng như trên không chặn được các thực thể XML tham chiếu ngoài (XXE), do đó cho phép kẻ xấu có thể xem toàn bộ nội dung trong máy tính của nạn nhân.
Để thực hiện tấn công này, kẻ tấn công cần tạo ra một tệp AndroidManifest.xml độc hại để khai thác lỗ hổng XXE. Dữ liệu từ máy tính của nạn nhân sẽ tự động chuyển tới cho chúng. Sau khi được tải trong một môi trường phát triển tích hợp có lỗ hổng, tệp XML độc hại sẽ chuyển bất kì tệp nào tới kẻ tấn công. Những tệp bị chuyển không chỉ hạn chế trong phạm vi của môi trường phát triển tích hợp, mà có thể là bất kỳ tệp nào trên máy.
Bên cạnh đó, các nhà nghiên cứu cũng phát hiện ra rằng, kẻ tấn công còn có thể đưa tệp XML độc hại vào các kho lưu trữ (repository) Android bên trong thư viện Android Archive Library (AAR). Sau khi được đọc từ kho lưu trữ, thư viện AAR và tệp XML độc hại bên trong nó sẽ lợi dụng lỗ hổng để đánh cắp bất kì dữ liệu nào.
Các nhà nghiên cứu của Check Point còn phát hiện thêm một lỗ hổng trên công cụ APKTool, cho phép thực thi lệnh bất kỳ trên máy tính bị ảnh hưởng. Những người dùng APKTool cao cấp có thể quen thuộc với đoạn UnknownFiles trong tệp APKTOOL.YML. Đó là một đoạn mã cho phép người dùng thêm mã lệnh từ một vị trí không điển hình và đặt nó vào đúng chỗ cần thiết khi tệp APK được biên dịch. Đó cũng là một cách khai thác lỗ hổng để thực thi mã từ xa. Theo CheckPoint, việc chỉnh sửa đoạn UnknownFiles cho phép chèn một tệp bất kỳ vào hệ thống tệp và sau đó đoạn lệnh có thể được thực thi. Lỗ hổng này ảnh hưởng tới những người vô tình dịch ngược một tệp APK độc hại.
Google, Jetbrains và nhóm phát triển APKTool đều khẳng định rằng họ đã khắc phục lỗ hổng này. Check Point cho biết, các công ty khác cũng đã vá lỗ hổng, nhưng không nói rõ đó là những công ty nào. Vì thế, để tránh bị ảnh hưởng, cách tốt nhất hiện nay là người dùng nên sử dụng những công cụ đã được vá lỗi.
Nguyễn Anh Tuấn
Theo Tech Republic
14:00 | 04/01/2018
09:00 | 08/01/2018
09:00 | 09/01/2018
08:00 | 29/11/2017
08:00 | 21/11/2017
14:00 | 17/11/2017
08:00 | 19/06/2018
19:00 | 30/04/2024
Các nhà nghiên cứu tới từ nhóm tình báo mối đe dọa Cisco Talos đã phát hiện một tác nhân đe dọa mới có nguồn gốc từ Việt Nam là CoralRaider đang thực hiện chiến dịch đánh cắp thông tin đăng nhập, dữ liệu tài chính và tài khoản mạng xã hội của nạn nhân, bao gồm cả tài khoản doanh nghiệp và quảng cáo.
13:00 | 26/02/2024
OpenAI đã xóa các tài khoản được sử dụng bởi các nhóm tin tặc do nhà nước bảo trợ từ Iran, Triều Tiên, Trung Quốc và Nga, những tài khoản được cho là đang lạm dụng ChatGPT nhằm thực hiện các hành vi độc hại.
07:00 | 15/02/2024
Theo thống kê của mạng lưới an ninh Kaspersky Security Network (KSN), số lượng người dùng Việt Nam bị ảnh hưởng bởi các mối đe dọa ngoại tuyến giảm đến 57% trong 4 năm qua. Tuy nhiên, con số này vẫn dẫn đầu khu vực Đông Nam Á.
16:00 | 25/01/2024
Quần đảo Trường Sa là vùng lãnh thổ thiêng liêng không thể tách rời của Tổ quốc Việt Nam; trạm gác tiền tiêu, pháo đài canh gác, lá chắn vững chắc từ hướng biển, phên dậu sườn Đông của Tổ quốc; không gian chiến lược đặc biệt quan trọng đối với quốc phòng, an ninh và kinh tế của đất nước. Vì vậy, mỗi chuyến công tác tới Trường Sa đều đem lại rất nhiều cảm xúc và ý nghĩa. Đặc biệt là chuyến thăm, tặng quà Tết hàng năm.
Hội nghị quốc tế lần thứ 12 Lãnh đạo cấp cao phụ trách an ninh được tổ chức dựa trên sự cần thiết vì nó mở ra cơ hội để trao đổi kinh nghiệm, tìm kiếm những cách tiếp cận mới và các giải pháp tổng hợp chung cho các vấn đề cấp bách về an ninh khu vực và toàn cầu.
09:00 | 28/04/2024
Trong 02 ngày 25-26/4, Đoàn công tác của Ban Cơ yếu Chính phủ do đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban làm Trưởng đoàn đã đến thăm và làm việc với các Tỉnh ủy: Đồng Nai, Bình Dương và Bình Phước về công tác cơ yếu, bảo mật và an toàn thông tin.
19:00 | 30/04/2024
Công ty được mệnh danh là “Google của Trung Quốc” - Baidu cho biết chatbot AI của hãng này, Ernie Bot đã có hơn 200 triệu người dùng trong bối cảnh cạnh tranh ngày càng khốc liệt.
19:00 | 30/04/2024