Phát hiện nhiều lỗ hổng bảo mật trên ứng dụng Android SHAREit cho phép Hacker đánh cắp tập tin

Các chuyên gia bảo mật đã phát hiện hai lỗ hổng bảo mật nguy hiểm trên SHAREit – một ứng dụng Android phổ biến – cho phép hacker tấn công thông qua hệ thống xác thực danh tính và đánh cắp tập tin của nạn nhân.

Là một ứng dụng hỗ trợ chia sẻ tập tin phổ biến trên Android, iOS, Windows và Mac, ứng dụng này đã có 1.5 tỉ người dùng trên toàn thế giới, được thiết kế nhằm giúp người dùng chia sẻ các tập tin như video, nhạc, tập tin và ứng dụng qua nhiều thiết bị khác nhau.

Hơn 500 triệu người dùng đã tìm thấy ứng dụng SHAREit trên Android chứa lỗ hổng, thông qua lỗ hổng bảo mật này nằm ở phần xác thực của ứng dụng chuyển tập tin, cho phép tải xuống tập tin tùy ý, theo một bài đăng trên Blog của các nhà nghiên cứu RedForce chia sẻ.

Các lỗ hổng ban đầu được phát hiện trong một năm trở lại vào tháng 12 năm 2017 và được sửa vào tháng 3 năm 2018, nhưng các nhà nghiên cứu đã quyết định không tiết lộ chi tiết của họ cho đến thứ Hai "đưa ra tác động của lỗ hổng, bề mặt tấn công lớn và dễ khai thác".

SHAREit chia sẻ tập tin như thế nào?

Máy chủ SHAREit lưu trữ nhiều dịch vụ thông qua các cổng khác nhau trên một thiết bị, nhưng các nhà nghiên cứu đã phân tích hai dịch vụ được chỉ định bao gồm Kênh Command (chạy trên Cổng 55283) và Kênh Download (chạy trên Cổng 2999).

Kênh lệnh là kênh TCP thông thường nơi ứng dụng trao đổi tin nhắn với các phiên bản SHAREit khác đang chạy trên các thiết bị khác bằng kết nối ổ cắm thô, bao gồm nhận dạng thiết bị, xử lý yêu cầu truyền tệp và kiểm tra sức khỏe kết nối.

Kênh tải xuống là triển khai máy chủ HTTP riêng của ứng dụng SHAREit, chủ yếu được các khách hàng khác sử dụng để tải xuống các tệp được chia sẻ.

Theo các nhà nghiên cứu, khi bạn sử dụng ứng dụng SHAREit Android để gửi tệp đến thiết bị khác, phiên truyền tệp thông thường bắt đầu bằng nhận dạng thiết bị thông thường, sau đó 'người gửi' sẽ gửi tin nhắn điều khiển đến 'người nhận', cho biết rằng bạn có một tập tin để chia sẻ

Khi 'người nhận' xác minh rằng tệp không trùng lặp, nó sẽ chuyển đến Kênh tải xuống và tìm nạp tệp đã gửi bằng thông tin từ thông báo điều khiển trước đó.

Tin tặc có thể truy cập tệp của bạn bằng cách sử dụng lỗ hổng SHAREit

Tuy nhiên, các nhà nghiên cứu phát hiện ra rằng khi người dùng không có phiên hợp lệ cố gắng tìm nạp trang không tồn tại, thay vì trang 404 thông thường, ứng dụng SHAREit sẽ phản hồi với trang trống mã trạng thái 200 và thêm người dùng vào các thiết bị được nhận dạng, cuối cùng xác thực một người dùng trái phép.

Theo các nhà nghiên cứu, việc khai thác bằng chứng khái niệm đầy đủ chức năng cho lỗ hổng SHAREit này sẽ đơn giản như curl http: // shareit_sender_ip: 2999 / DontExist, biến nó thành phương thức xác thực kỳ lạ và đơn giản nhất từ trước đến nay.

Các nhà nghiên cứu cũng nhận thấy rằng khi yêu cầu tải xuống được bắt đầu, máy khách SHAREit sẽ gửi yêu cầu GET đến máy chủ HTTP của người gửi, trông giống như URL sau:

http://shareit_sender_ip:2999/download?metadatatype=photo&metadataid=1337&filetype=thumbnail&msgid=c60088c13d6

Vì ứng dụng SHAREit không xác thực tham số 'msgid' – một số xác thực độc nhất cho từng yêu câu tải xuống của người gửi – sẽ kích hoạt một đối tác độc hại với phiên hoạt động có hiệu lực để tải bất kỳ tài nguyên nào một cách trực tiếp.

Các lỗ hổng có thể bị kẻ tấn công khai thác trên mạng WiFi được chia sẻ và không may các phiên bản SHAREit dễ bị tổn thương tạo ra một điểm truy cập Wi-Fi mở dễ phân biệt mà người ta không chỉ có thể sử dụng để chặn lưu lượng truy cập (vì nó sử dụng HTTP) giữa hai thiết bị để khai thác các lỗ hổng được phát hiện và có quyền truy cập không hạn chế vào bộ lưu trữ thiết bị dễ bị tổn thương.

Vì việc khai thác chỉ đơn giản là gửi một lệnh curl tham chiếu đường dẫn của tệp đích, nên người ta phải biết chính xác vị trí của tệp mà người ta muốn lấy.

Để khắc phục điều này, các nhà nghiên cứu bắt đầu tìm kiếm các tệp có đường dẫn đã biết sẵn có công khai, bao gồm SHAREit History và SHAREit MediaStore Database, có thể chứa thông tin thú vị.

Nhóm đã liên hệ với Nhóm SHAREit nhiều lần trên nhiều nền tảng vào đầu tháng 1 năm 2018 nhưng không có phản hồi nào cho đến đầu tháng 2 khi các nhà nghiên cứu cảnh báo công ty sẽ công bố chi tiết lỗ hổng cho công chúng sau 30 ngày.

Nhóm SHAREit đã âm thầm vá các lỗ hổng vào tháng 3 năm 2018, mà không cung cấp cho các nhà nghiên cứu các phiên bản vá chính xác của ứng dụng Android, ID CVE dễ bị tổn thương hoặc bất kỳ bình luận nào cho tiết lộ công khai.

Các lỗ hổng ảnh hưởng đến ứng dụng SHAREit cho Android <= phiên bản 4.0.38. Nếu bạn chưa có, bạn nên cập nhật ứng dụng SHAREit của mình từ Cửa hàng Google Play càng sớm càng tốt.

Minh Hương