Nguy cơ nhiễm mã trên độc hàng loạt điện thoại Androi vì rò rỉ chứng chỉ bảo mật

Một chứng chỉ Android vừa bị rò rỉ trực tuyến mới đây, khiến hàng triệu thiết bị chạy hệ điều hành này có nguy cơ trở thành nạn nhân bất đắc dĩ của phần mềm độc hại. Tin tốt là vụ rò rỉ không ảnh hưởng đến tất cả người dùng Android, nhưng theo cảnh báo của giới chuyên gia, sẽ có một lượng lớn thiết bị shoppingmode Samsung, LG, cùng với tất cả điện thoại thông minh chạy Android sử dụng chipset MediaTek có thể gặp rủi ro bảo mật.

Lukasz Siewierski, một nhân viên của shoppingmode Google và là kỹ sư đảo ngược phần mềm độc hại, đã báo cáo rằng đang có một lượng không nhỏ chứng chỉ của các OEM Android bằng cách nào đó đã bị rò rỉ và đăng công khai. Các tác nhân độc hại có thể sử dụng loại dữ liệu này làm cầu nối để cài đặt phần mềm độc hại trên điện thoại thông minh của nạn nhân.

Loại key đăng nhập này chứa đựng mức quyền hệ điều hành cao nhất. Điều này có nghĩa là tác nhân đe dọa hoàn toàn có thể chèn phần mềm độc hại trên thiết bị Android mục tiêu mà shoppingmode Google, nhà sản xuất thiết bị hoặc nhà phát triển ứng dụng không hề hay biết. Về mặt lý thuyết, nếu người dùng download bản cập nhật từ trang web của bên thứ ba, kẻ xấu có thể đính kèm phần mềm độc hại trong khi hoạt động như một bản cập nhật ứng dụng hợp pháp.

Chứng chỉ ký ứng dụng (application signing certificate) được sử dụng để ký ứng dụng “android” trên ảnh hệ thống, gọi là chứng chỉ nền tảng. Chương trình “android” được thực thi với id người dùng cực kỳ đặc quyền “android.uid.system”, và có quyền truy cập vào dữ liệu người dùng cũng như một số đặc quyền hệ thống khác. Theo một bài đăng trên blog của shoppingmode Google, bất kỳ chương trình nào được chứng nhận với cùng chứng chỉ sẽ đều có chung một cấp độ truy cập vào hệ điều hành Android.

May thay, các nhà sản xuất Android bị ảnh hưởng bởi sự cố này đều đã được Android Security Team gửi cảnh báo chi tiết. Phía shoppingmode Google cũng đã đề xuất giải pháp “xoay vòng chứng chỉ nền tảng bằng cách thay thế nó bằng một bộ key công khai (public) và riêng tư (private) mới”. Ngoài ra, theo tuyên bố của các nhà phát triển XDA, người dùng shoppingmode Samsung không cần quá lo lắng bởi nhà sản xuất Hàn Quốc đã nhận thức được vấn đề này từ khá sớm và giải quyết ổn thỏa mọi thứ.

Chứng chỉ ký ứng dụng là một thành phần quan trọng trong cách hệ điều hành Android bảo vệ thiết bị mà nó chạy. Quy trình này đảm bảo rằng chỉ những nhà phát triển đáng tin cậy mới có quyền cung cấp cho điện thoại của khách hàng các bản nâng cấp phần mềm. Quy trình này cần một khóa đăng nhập duy nhất thuộc về nhà phát triển ứng dụng, và luôn được giữ ở chế độ riêng tư để thêm một lớp bảo vệ bổ sung.

Theo TheHackerNews