Vào đầu tháng 6/2013, các nhà nghiên cứu bảo mật công bố có một lỗ hổng bảo mật mới xuất hiện trên điện thoại Android khiến các ứng dụng cài đặt bị sửa đổi mà người dùng không biết.
Hầu hết tất cả các thiết bị Android có thể bị tấn công giống như lỗ hổng xuất hiện từ thời Android 1.6 (Donut) và hiện tại chỉ có Samsung Galaxy S4 được vá lỗi bảo mật để khắc phục trường hợp này.
Lỗ hổng được cho là lỗi khóa bảo mật “Master Key”. Có sức hút đáng kể với giới truyền thông nhưng không phải lúc nào lỗ hổng này cũng được hiểu một cách chính xác. Hãng bảo mật Trend Micro đã đưa ra báo cáo để làm rõ hơn những gì đang xảy ra và người dùng nên làm những gì.
Thế nào là lỗ hổng bảo mật “Master key”?
Đây là dạng lỗ hổng liên quan đến việc các ứng dụng Android được ký đăng ký. Tất cả các ứng dụng Android có một chữ ký số được mã hóa từ lập trình viên, trong đó xác nhận chúng thực sự được lập trình viên thiết kế và không bị sửa đổi khi phân phối. Một ứng dụng chỉ có thể được cập nhật nếu phiên bản mới có một chữ ký khớp với chữ ký mà lập trình viên phát hành.
Lỗ hổng đặc biệt này xuất hiện ở bước cuối cùng. Các nhà nghiên cứu tìm ra có một cách để những kẻ tấn công có thể cập nhật một ứng dụng được cài đặt ngay cả khi chúng không có khóa bảo mật gốc. Bất kỳ ứng dụng nào được cài đặt đều có thể bị cập nhật bằng một phiên bản độc hại.
Lưu ý rằng về mặt kỹ thuật, không có lỗ hổng bảo mật “Master key” nào bị tấn công. Bất kỳ ứng dụng nào cũng đều có thể bị sửa đổi và sử dụng với mục đích xấu nhưng chưa có báo cáo nào về việc sử dụng lỗ hổng “Master key” để tiến hành.
Có những rủi ro gì?
Lỗ hổng này có thể bị sử dụng để thay thế các ứng dụng hợp pháp trên thiết bị Android bằng những phiên bản độc hại. Các ứng dụng có nhiều điều khoản (từ nhà sản xuất điện thoại hoặc nhà cung cấp dịch vụ đến người dùng) gặp những nguy cơ cụ thể.
Một khi ở trên thiết bị thì các ứng dụng này có thể hoạt động theo cách mà bất kỳ ứng dụng độc hại nào hoạt động, ngoại trừ việc người dùng sẽ nghĩ rằng chúng là một ứng dụng hoàn toàn hợp pháp. Ví dụ, một ứng dụng bị sửa đổi hay có trojan độc hại ở một ngân hàng sẽ tiếp tục làm việc cho người sử dụng nó nhưng các thông tin sẽ được gửi đến kẻ tấn công.
Người dùng có thể làm gì để tự bảo vệ mình?
Trend Micro đã cập nhật phần mềm của mình trên Mobile để phát hiện các ứng dụng khai thác lỗ hổng này, nhưng cho đến nay vẫn chưa tìm thấy bất kì ứng dụng nào như vậy.
Trend Mirco đặc biệt gợi ý người dùng nên vô hiệu hóa khả năng cài đặt các ứng dụng từ các nguồn bên ngoài Google Play. Thiết lập này có thể được tìm thấy ở phần Security trong các thiết lập hệ thống của thiết bị Android.
Google đã có một vài bước đi để bảo vệ người dùng. Họ sửa đổi đầu cuối của kho ứng dụng trực tuyến để các ứng dụng khai thác lỗ hổng sẽ bị khóa. Do vậy, người dùng không tải về các ứng dụng từ kho ứng dụng bên thứ ba hoặc các tập tin APK cho sideload sẽ không gặp những rủ ro này. Công ty cũng đưa ra một bản vá lỗ hổng và phân phối nó ở các nhà sản xuất thiết bị gốc (Original Equipment Manufacturer - OEM). Hy vọng bản cập nhật này sẽ ngăn chặn được vấn đề tiềm ẩn như hiện nay.
Trend Micro có thể đưa ra một bản báo cáo với cách tiếp cận khác cho một cuộc tấn công tương tự bỏ qua việc kiểm tra chữ ký ở Android khi sử dụng lỗ hổng bảo mật tiến hành trên zipfile java. Công ty hiện đang tìm ra giải pháp, các ứng dụng độc hại sử dụng kỹ thuật này sẽ bị phát hiện là AndroidOS_ExploitSign.HRXA.