Còn gì bi kịch hơn khi những công cụ được coi là tấm lá chắn bảo vệ cho thiết bị của bạn giờ đây lại có thể biến thành phần mềm độc hại mở đường cho những hành vi xâm phạm trái phép, thông qua “bàn tay biến ảo” của tin tặc.
Nhiều nhà nghiên cứu bảo mật nổi tiếng đã tiết lộ vào cuối ngày hôm qua rằng một ứng dụng bảo mật được cài đặt sẵn trên hơn 150 triệu thiết bị sản xuất bởi Xiaomi, công ty điện thoại thông minh lớn thứ 4 của Trung Quốc, có thể bị biến đổi thành những công cụ cho phép tin tặc chiếm quyền truy cập vào điện thoại thông minh Xiaomi từ xa.
Cụ thể hơn, theo CheckPoint, các vấn đề được báo cáo xuất hiện ở một trong những ứng dụng được cài đặt sẵn trên điện thoại Xiaomi có tên Guard Provider. Về cơ bản, Guard Provider là một ứng dụng bảo mật được phát triển bởi chính nhà sản xuất này, bao gồm ba chương trình chống virus khác nhau cho phép người dùng tùy ý lựa chọn, là Avast, AVL và Tencent.
Bởi Guard Provider được Xiaomi thiết kế để có khả năng tích hợp cũng như cung cấp nhiều chương trình của bên thứ 3 trong một ứng dụng duy nhất, do đó nó sẽ phải sử dụng một số bộ phát triển phần mềm (SDK), và theo các nhà nghiên cứu thì làm như vậy hoàn toàn không phải là ý tưởng hay, đơn giản là vì dữ liệu của một SDK không thể được cô lập, do đó bất kỳ vấn đề nào xảy ra với một trong số những thành phần tích hợp đều có thể gây ảnh hưởng chung đến toàn bộ ứng dụng.
"Một trong những nhược điểm tiềm ẩn rõ ràng nhất trong việc sử dụng một vài SDK trong cùng một ứng dụng nằm ở chỗ tất cả chúng đều chia sẻ chung một bối cảnh và quyền của ứng dụng. Mặc dù các lỗi nhỏ trong mỗi SDK riêng lẻ thường có thể là một vấn đề độc lập, nhưng khi mà nhiều SDK được triển khai trong cùng một ứng dụng, nó có thể dẫn đến những lỗ hổng nghiêm trọng hơn do thực tế là dữ liệu của một SDK không thể được cô lập hoặc phân tách”, các nhà nghiên cứu giải thích.
Hóa ra trước khi nhận được bản vá mới nhất, về cơ bản ứng dụng Guard Provider đã tự động tải xuống các bản cập nhật antivirus signature thông qua kết nối HTTP không bảo mật, cho phép kẻ tấn công trung gian có thể thông qua hệ thống mạng WiFi mở để chặn kết nối mạng trên thiết bị của bạn, và đồng thời đẩy các cập nhật độc hại vào hệ thống.
"Sau khi kết nối với cùng một mạng Wi-Fi với thiết bị được nhắm mục tiêu - giả sử ở những nơi công cộng, ví dụ như tại nhà hàng, quán cà phê hoặc trung tâm thương mại - kẻ tấn công sẽ có thể truy cập vào kho lưu trữ hình ảnh, video và những dữ liệu nhạy cảm khác của chủ sở hữu điện thoại thông minh Xiaomi”, CheckPoint cho biết.
Tuy nhiên, kịch bản tấn công trong thực tế không hẳn là đơn giản như vậy.
Theo giải thích của CheckPoint, các nhà nghiên cứu đã thực hiện thành công việc thực thi mã từ xa trên các thiết bị Xiaomi được nhắm mục tiêu sau khi phải khai thác được 4 vấn đề riêng biệt trong 2 SDK khác nhau có sẵn trong ứng dụng Guard Provider .
Cuộc tấn công về cơ bản đã được tạo điều kiện từ việc Guard Provider sử dụng kết nối HTTP không bảo mật, cùng với đó là lỗ hổng trong truyền tải đường dẫn và việc thiếu xác minh chữ ký số trong khi tải xuống và cài đặt bản cập nhật trên thiết bị.
“Vấn đề cốt lõi ở đây là người dùng thường đặt quá nhiều niềm tin vào các nhà sản xuất điện thoại thông minh, đặc biệt là đối với các ứng dụng cài đặt sẵn trên thiết bị và được tuyên bố có thể giúp bảo vệ chính chiếc điện thoại của họ như trường hợp của Guard Provider. Điều này là hoàn toàn có thể thông cảm được".
Check Point đã báo cáo các vấn đề nêu trên cho Xiaomi, công ty đã xác nhận sự việc và cho biết đã khắc phục các sự cố trong phiên bản mới nhất của ứng dụng Guard Provider. Vì vậy, nếu bạn sở hữu điện thoại thông minh Xiaomi, bạn nên đảm bảo phần mềm bảo mật của mình được cập nhật lên phiên bản mới nhất để tránh những sự cố đáng tiếc với kho dữ liệu cá nhân của mình.