Buzz
Chìa khóa mã hóa của Nhà sản xuất Điện thoại Android Bị Đánh Cắp và Sử Dụng trong Phần mềm Độc hại
Trong khi Google đang phát triển hệ điều hành di động Android mã nguồn mở của mình, các “nhà sản xuất thiết bị gốc” sản xuất điện thoại Android, như Samsung, đóng một vai trò lớn trong việc điều chỉnh và bảo vệ hệ điều hành cho thiết bị của họ. Nhưng một phát hiện mới mà Google công bố vào thứ Năm cho thấy rằng một số chứng chỉ số đã bị thương mại hóa mà những người sản xuất sử dụng để xác minh ứng dụng hệ thống quan trọng đã bị tấn công và đã được sử dụng để đặt dấu chấm phê duyệt cho các ứng dụng Android độc hại.
Như hầu hết các hệ điều hành máy tính khác, Android của Google được thiết kế với mô hình “đặc quyền”, vì vậy các phần mềm khác nhau chạy trên điện thoại Android của bạn, từ ứng dụng của bên thứ ba đến hệ điều hành chính nó, bị hạn chế càng nhiều càng tốt và chỉ được phép truy cập hệ thống dựa trên nhu cầu của chúng. Điều này giúp trò chơi mới bạn đang chơi không thể lặng lẽ thu thập mật khẩu của bạn trong khi cho phép ứng dụng chỉnh sửa ảnh của bạn truy cập vào bảng cuộn máy ảnh của bạn, và toàn bộ cấu trúc này được áp đặt bởi chứng chỉ số ký số học. Nếu các chìa khóa bị đánh cắp, kẻ tấn công có thể cấp quyền phần mềm của họ mà không nên có.
Google cho biết trong một tuyên bố vào thứ Năm rằng các nhà sản xuất thiết bị Android đã triển khai các biện pháp hạn chế, quay chìa khóa và tự động đưa các bản vá đến điện thoại người dùng. Và công ty đã thêm các phát hiện quét cho bất kỳ phần mềm độc hại nào cố gắng lạm dụng các chứng chỉ đã bị tấn công. Google nói rằng họ không phát hiện ra bằng chứng cho thấy phần mềm độc hại đã lẻn vào Google Play Store, có nghĩa là nó đang lan truyền qua phân phối từ bên thứ ba. Việc tiết lộ và phối hợp để đối phó với mối đe dọa đã xảy ra thông qua một liên minh được biết đến là Android Partner Vulnerability Initiative.
“Mặc dù cuộc tấn công này khá tồi tệ, lần này chúng ta may mắn, vì OEMs có thể nhanh chóng quay chìa khóa bị ảnh hưởng bằng cách cập nhật thiết bị qua sóng không dây,” nói Zack Newman, một nhà nghiên cứu tại công ty an ninh chuỗi cung ứng phần mềm Chainguard, đã phân tích một số vấn đề liên quan đến sự cố.
Lạm dụng các “chứng chỉ nền tảng” bị tấn công sẽ cho phép kẻ tấn công tạo ra phần mềm độc hại được chọn và có quyền truy cập rộng lớn mà không cần lừa dối người dùng. Báo cáo của Google, do kỹ sư đảo ngược Android Łukasz Siewierski biên soạn, cung cấp một số mẫu phần mềm độc hại đang tận dụng các chứng chỉ bị đánh cắp. Họ chỉ đến Samsung và LG là hai nhà sản xuất mà chứng chỉ của họ đã bị tấn công, cùng với những nhà sản xuất khác.
LG không phản hồi yêu cầu của MYTOUR để bình luận. Samsung thừa nhận sự việc bị tấn công trong một tuyên bố và nói rằng “không có sự cố bảo mật nào được biết đến liên quan đến lỗ hổng tiềm ẩn này.”
Mặc dù có vẻ như Google đã phát hiện vấn đề trước khi nó trở nên phức tạp, sự cố này làm nổi bật thực tế rằng các biện pháp bảo mật có thể trở thành điểm yếu nếu chúng không được thiết kế một cách có suy nghĩ và có càng nhiều sự minh bạch càng tốt. Chính Google cũng đã ra mắt một cơ chế năm ngoái được gọi là Google Binary Transparency có thể hoạt động như một công cụ kiểm tra xem phiên bản Android đang chạy trên thiết bị có phải là phiên bản được xác minh hay không. Có những tình huống mà kẻ tấn công có thể có quyền truy cập quá nhiều vào hệ thống mục tiêu, họ có thể đánh bại các công cụ nhật ký nhưng vẫn đáng triển khai để giảm thiểu thiệt hại và ghi chú hành vi đáng ngờ trong càng nhiều tình huống càng tốt.
Như mọi khi, sự phòng ngừa tốt nhất cho người dùng là duy trì phần mềm trên tất cả các thiết bị của họ luôn được cập nhật.
“Thực tế là, chúng ta sẽ thấy những kẻ tấn công tiếp tục tìm kiếm loại quyền truy cập này,” Zack Newman của Chainguard nói. “Nhưng thách thức này không độc đáo đối với Android, và tin vui là các kỹ sư bảo mật và nhà nghiên cứu đã đạt được tiến bộ đáng kể trong việc xây dựng các giải pháp ngăn chặn, phát hiện và khôi phục từ những cuộc tấn công này.”
