Trong một bài đăng trên blog được xuất bản vào 15/2, các nhà nghiên cứu, Echo Duan và Jesse Chang của Trend Micro đã mô tả một loạt lỗ hổng trong SHAREit có khả năng cho phép tin tặc làm đánh cắp dữ liệu và chạy mã độc cục bộ hoặc từ xa.
Sau 3 tháng kể từ khi tiết lộ phát hiện của mình cho công ty Smart Media4U Technology (có trụ sở tại Singapore), họ không nhận được phản hồi từ nhà sản xuất ứng dụng. Do vậy họ đã công khai những lỗ hổng này. Các nhà nghiên cứu cho biết "Chúng tôi quyết định tiết lộ nghiên cứu của mình ba tháng sau khi báo cáo điều này vì nhiều người dùng có thể bị ảnh hưởng bởi cuộc tấn công này bởi tin tặc có thể đánh cắp dữ liệu nhạy cảm và làm bất cứ điều gì với sự cho phép của ứng dụng".
Theo Duan và Chang, ứng dụng SHAREit triển khai một thành phần bộ thu phát sóng được gọi là "com.lenovo.anyshare. app.DefaultReceiver" có thể được gọi thông qua cơ chế giao tiếp liên ứng dụng Intent của Android từ bất kỳ ứng dụng nào khác. Họ đã xây dựng một Intent POC cho thấy các hoạt động tùy ý, bao gồm các hoạt động ứng dụng nội bộ (không công khai) và bên ngoài của SHAREit.
Tệ hơn, ứng dụng định nghĩa FileProvider một API chia sẻ tệp cho phép các ứng dụng của bên thứ ba có quyền truy cập đọc và ghi tệp tạm thời vào dữ liệu của ứng dụng SHAREit, từ gốc của ứng dụng thay vì thu hẹp phạm vi trong một thư mục cụ thể. Do đó, các nhà nghiên cứu đã có thể tạo ra mã POC để đọc các cookie được liên kết với thành phần duyệt WebView có sẵn cho ứng dụng.
Duan và Chang cho biết họ cũng có thể ghi đè các tệp hiện có được liên kết với ứng dụng, bao gồm tệp vdex / odex - các tệp đã được xác thực/tối ưu hóa .dex(Dalvik Executable) tải trước thông tin để khởi động ứng dụng nhanh hơn, việc chỉnh lại các tệp này có thể cho phép tin tặc thay đổi các tệp đó để chúng thực thi mã độc.
Ứng dụng cũng triển khai tính năng liên kết sâu cho phép nó tải xuống tệp từ bất kỳ địa chỉ http/https nào bao gồm *.wshareit.com hoặc gshare.cdn.shareitgames.com. Vì tính năng này sẽ cài đặt một APK Android có hậu tố là tệp .sapk. Duan và Chang nói rằng có thể cài đặt một ứng dụng độc hại và cho phép thực thi mã từ xa hạn chế.
Mặc dù các nhà nghiên cứu lưu ý rằng Google Chrome thực hiện biện pháp bảo vệ chống lại việc cài đặt ứng dụng thầm lặng thông qua URL liên kết sâu, họ chỉ ra rằng ứng dụng cục bộ vẫn có thể kích hoạt tải xuống và cài đặt từ một URL tùy ý.
Hơn nữa, SHAREit cũng dễ bị tấn công xen giữa (MITM). Các nhà nghiên cứu nói rằng, khi ứng dụng tải xuống các ứng dụng khác từ trung tâm tải xuống, nó sẽ kiểm tra thư mục bên ngoài có thể được ghi bởi bất kỳ ứng dụng bên thứ ba nào có quyền ghi vào SDcard. Ứng dụng này cho phép tải xuống các ứng dụng trò chơi khác được liệt kê trong một tệp .xml và hầu hết các URL trong đó sử dụng giao thức http không an toàn, khiến chúng cũng có thể là phương tiện tạo điều kiện cho tấn công MITM.
Nguyễn Anh Tuấn (the The Register)
10:00 | 02/06/2023
14:00 | 25/01/2021
14:00 | 22/12/2020
09:00 | 28/10/2020
09:00 | 19/04/2024
Theo nhận định của Cục An toàn thông tin (Bộ Thông tin và Truyền thông), trong thời gian gần đây các chiêu trò lừa đảo trực tuyến ngày càng gia tăng với các hình thức tinh vi hơn. Điều này khiến cho nhiều người dân khó nhận biết để phòng tránh nguy cơ mất an toàn thông tin.
08:00 | 12/03/2024
Mới đây, các nhà nghiên cứu từ Trung tâm Ứng phó khẩn cấp bảo mật AhnLab - ASEC (Hàn Quốc) phát hiện phần mềm độc hại mới có tên WogRAT, đang được các tác nhân đe dọa triển khai trong các cuộc tấn công lạm dụng nền tảng Notepad trực tuyến có tên là aNotepad để bí mật lưu trữ và truy xuất mã độc trên cả Windows và Linux.
08:00 | 19/01/2024
Các nhà nghiên cứu an ninh mạng của hãng bảo mật Malwarebytes (Mỹ) đã xác định được phiên bản cập nhật của phần mềm đánh cắp thông tin trên macOS có tên là Atomic Stealer (hoặc AMOS), cho thấy các tác nhân đe dọa phát triển phần mềm độc hại này đang tích cực nâng cao khả năng của nó. Trong bài viết này sẽ xem xét những thay đổi mới nhất của Atomic Stealer và việc phân phối gần đây các quảng cáo độc hại thông qua công cụ tìm kiếm Google.
07:00 | 15/01/2024
Pegasus được đánh giá là một trong những phần mềm gián điệp mạnh mẽ nhất hiện nay, chúng có các chức năng đánh cắp dữ liệu toàn diện hơn rất nhiều so với các phần mềm gián điệp khác, với khả năng thu thập thông tin mọi thứ từ dữ liệu có giá trị cao như mật khẩu, danh bạ và các dữ liệu từ các ứng dụng khác. Trong bài báo này, tác giả sẽ giới thiệu tổng quan về mã độc Pegasus và biến thể Chrysaor cùng các phương thức tấn công và cách phòng chống mã độc nguy hiểm này.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Trong một chiến dịch tấn công gần đây, các tác nhân đe dọa đã lạm dụng chức năng tìm kiếm của GitHub và sử dụng các kho lưu trữ được thiết kế đặc biệt để phát tán phần mềm độc hại nhằm đánh cắp các khoản thanh toán bằng tiền điện tử.
09:00 | 28/04/2024
