Hàng triệu người dùng đứng trước nguy cơ bảo mật bởi nhiều ứng dụng Android chưa được vá lỗi

Một lượng lớn các ứng dụng Android với lượng người dùng khổng lồ đang sử dụng phiên bản chưa vá lỗi phổ biến trên Google, đẩy hàng tram triệu người dùng điện thoại thông minh đứng trước nguy cơ bị tấn công.

Những ứng dụng phổ biến như Grindr, Bumble, OkCupid, Cisco Teams, Moovit, Yango Pro, Microsoft Edge, Xrecorder, và PowerDirector vẫn rất dễ tổn thương và có thể bị hack nhằm đánh cắp các dữ liệu quan trọng của người dùng như mật khẩu, thông tin tài chính và email.

Lỗ hổng được ghi nhận với số hiệu CVE-2020-8913 được đánh giá mức độ nghiêm trọng là 8.8 trên 10 có thể ảnh hưởng đến Android’s Play Core Library phiên bản 1.7.2

Mặc dù Google đã thông báo về lỗ hổng bảo mật vào tháng ba, nhưng những phát hiện mới của Check Point Research cho thấy rằng rất nhiều ứng dụng bên thứ ba vẫn chưa được các nhà phát triển vá lỗi sang phiên bản Play Core Library mới cho ứng dụng dẫn đến đầy nguy cơ nguy hiểm.

Không giống như các lỗ hổng phía máy chủ, nơi lỗ hổng được vá hoàn toàn sau khi bản vá được áp dụng cho máy chủ, đối với các lỗ hổng phía máy khách, mỗi nhà phát triển cần lấy phiên bản mới nhất của thư viện và chèn nó vào ứng dụng ", công ty an ninh mạng cho biết trong một báo cáo.

Thư viện Play Core là một thư viện Android phổ biến cho phép các nhà phát triển quản lý việc phân phối các mô-đun tính năng mới một cách hiệu quả, kích hoạt các bản cập nhật trong ứng dụng khi chạy và tải xuống các gói ngôn ngữ bổ sung.

Được báo cáo lần đầu tiên vào cuối tháng 8 bởi các nhà nghiên cứu tại công ty start up bảo mật ứng dụng Oversecured, sự cố cho phép kẻ đe dọa đưa các tệp thực thi độc hại vào bất kỳ ứng dụng nào dựa trên thư viện, do đó cấp cho kẻ tấn công toàn quyền truy cập vào tất cả các tài nguyên của ứng dụng bị xâm phạm.

Lỗ hổng này bắt nguồn từ một lỗ hổng truyền qua đường dẫn trong thư viện có thể bị khai thác để tải và thực thi mã độc hại (ví dụ: tệp APK) vào một ứng dụng mục tiêu nhằm đánh cắp thông tin đăng nhập, mật khẩu, chi tiết tài chính và thông tin nhạy cảm khác của người dùng được lưu trữ trong nó.

Hậu quả của việc khai thác thành công lỗ hổng này là rất lớn. Nó có thể được sử dụng để "đưa mã vào các ứng dụng ngân hàng để lấy thông tin đăng nhập và đồng thời có quyền SMS để lấy cắp mã xác thực hai yếu tố (2FA)", lấy tin nhắn từ ứng dụng trò chuyện, theo dõi vị trí của người dùng và thậm chí có được quyền truy cập vào tài nguyên của công ty bằng cách giả mạo các ứng dụng của doanh nghiệp.

Theo Nghiên cứu của Check Point, trong số 13% ứng dụng Google Play được phân tích vào tháng 9 năm 2020, 8% trong số đó có phiên bản dễ bị tấn công.

Sau khi công ty an ninh mạng tiết lộ một cách có trách nhiệm những phát hiện của họ, Viber, Meetup và Booking.com đã cập nhật ứng dụng của họ lên phiên bản thư viện được vá.

Các nhà nghiên cứu cũng đã chứng minh khái niệm bằng chứng sử dụng phiên bản dễ bị tấn công của ứng dụng Google Chrome để hút các dấu trang được lưu trữ trong trình duyệt thông qua một trọng tải chuyên dụng.

"Chúng tôi ước tính rằng hàng trăm triệu người dùng Android đang gặp rủi ro về bảo mật", Aviran Hazum, Giám đốc Nghiên cứu Di động của Check Point, cho biết. "Mặc dù Google đã triển khai bản vá, nhiều ứng dụng vẫn đang sử dụng các thư viện Play Core lỗi thời. Lỗ hổng CVE -2020-8913 rất nguy hiểm, [và] khả năng tấn công ở đây chỉ bị giới hạn bởi trí tưởng tượng của kẻ đe dọa. "

Hương – Theo The Hacker News