Một Lỗ hổng Android Không được Khắc phục trong Hơn Năm

Với hơn 2 tỷ người dùng, Android có một con số đáng kinh ngạc về số lượng thiết bị cần bảo vệ. Nhưng một lỗi "high-severity" không phát hiện được suốt hơn năm—mà những kẻ tấn công có thể lợi dụng để giám sát người dùng và có quyền truy cập vào tài khoản của họ—làm nhắc nhở rằng sức ảnh hưởng mở của Android cũng tạo ra thách thức cho việc bảo vệ một hệ sinh thái phi tập trung.

Được phát hiện bởi Sergey Toshin, một nhà nghiên cứu an toàn di động tại công ty phát hiện đe dọa Positive Technologies, lỗ hổng này bắt nguồn từ Chromium, dự án mã nguồn mở làm nền tảng cho Chrome và nhiều trình duyệt khác. Do đó, một kẻ tấn công có thể nhắm vào không chỉ Chrome di động, mà còn các trình duyệt di động phổ biến khác được xây dựng trên Chromium. Cụ thể hơn, Chromium cung cấp cho Android một tính năng gọi là WebView, hoạt động ngầm khi bạn nhấp vào một liên kết trong một trò chơi hoặc mạng xã hội; đó là điều cho phép những trang web đó tải trong một loại trình duyệt mini mà không cần rời khỏi ứng dụng. Sử dụng lỗ hổng Chromium, hacker có thể sử dụng WebView để lấy dữ liệu người dùng và có quyền truy cập rộng lớn vào thiết bị.

"Kẻ tấn công có thể tiến hành tấn công vào bất kỳ trình duyệt di động nào dựa trên Chromium trên thiết bị Android, bao gồm Google Chrome, Trình duyệt Internet Samsung và Trình duyệt Yandex, và lấy dữ liệu từ WebView của nó," Toshin nói.

Điều tồi tệ hơn, lỗi này đã xuất hiện trong mọi phiên bản của Android từ KitKat 4.4 năm 2013—phiên bản đầu tiên của Android có thể lắng nghe “Ok Google,” và cũng là phiên bản đầu tiên có biểu tượng cảm xúc trong Bàn phím Google. Thực sự, đó là những ngày tháng đẹp.

Một kẻ tấn công sẽ có quyền truy cập đáng tin cậy và lâu dài nhất vào thiết bị của nạn nhân bằng cách lừa họ cài đặt một ứng dụng độc hại tích hợp WebView và lợi dụng lỗ hổng. Nhưng Toshin chỉ ra rằng kẻ tấn công cũng có thể sử dụng lỗ hổng để có quyền truy cập thiết bị một cách không thích hợp bằng cách lừa người dùng nhấp vào một liên kết độc hại, sau đó mở thông qua tính năng Ứng dụng Ngay lập tức của Android. Tính năng này cho phép người dùng chạy phiên bản của một ứng dụng ngay lập tức mà không cần cài đặt thực sự. Trong kịch bản đó, kẻ tấn công sẽ không có quyền truy cập cố định, lâu dài, nhưng sẽ có một khoảng thời gian giới hạn để bắt đầu thu thập dữ liệu người dùng hoặc thông tin về tài khoản di động của họ. Dù sao, các phương pháp đều là những sự hy sinh yên lặng và không rõ ràng.

"Trong hầu hết các trường hợp, nó gần như không thể phát hiện được," Toshin nói.

Positive Technologies tiết lộ lỗi cho Google vào tháng 1, và công ty đã vá nó như một phần của Chrome 72 vào cuối tháng đó. Thiết bị chạy Android 7 trở lên nên có thể nhận cập nhật thông qua cập nhật Chrome chung, nhưng các thiết bị chạy các phiên bản Android 5 và 6 sẽ cần cài đặt một cập nhật đặc biệt cho WebView thông qua Google Play. Điều này hữu ích cho chủ sở hữu Android với cài đặt tự động đã bật, nhưng nếu không họ sẽ phải tự cài đặt. Cả Toshin và Google cũng thông báo với MYTOUR rằng các thiết bị được xây dựng trên Android mà không bao gồm Google Play, như Amazon Kindles, sẽ cần nhà sản xuất thiết bị phát hành một bản vá đặc biệt. Đây là nơi dân số phân tán của Android đặt ra vấn đề đặc biệt khi cần vá cho những thiết bị cần chúng.

Google cũng lưu ý rằng họ không phát hành bản vá cho Android 4.4 chính nó, vì hệ điều hành này đã hơn năm và chỉ còn chạy trên một số lượng thiết bị mà công ty đặc trưng là một phần nhỏ. Nhưng theo số liệu của chính Google, 7.6 phần trăm thiết bị Android vẫn chạy trên KitKat. Dựa trên cơ sở lắp đặt 2 tỷ, đó là khoảng 152 triệu. Đó cũng nhiều hơn phiên bản hiện tại của Android, Oreo 8.1, với tỷ lệ 7.5 phần trăm.

Google đã nỗ lực cải thiện khả năng đưa ra bản vá trên các thiết bị và giảm thiểu những rắc rối do sự biến động trong việc triển khai của các nhà sản xuất. Nhưng vẫn còn rất nhiều công việc phải làm. Và vì sự phổ biến của Android trong các ngữ cảnh và phân khúc giá khác nhau trên thế giới, thực tế là các phiên bản cũ của Android vẫn được sử dụng trong thời gian rất dài.

Những câu chuyện tuyệt vời khác từ MYTOUR

• Trải nghiệm của việc tiết lộ dữ liệu của 230 triệu người
• Một con tôm hung dữ truyền cảm hứng cho một càng nhẫn bắn plasma
• Chiếc túi mới nhất của Freitag có một thành phần mới lạ
• So sánh Tesla Model Y với các SUV điện khác
• Người trồng cây có lừa bò, muối cà chua trên YouTube
• 👀 Đang tìm kiếm các thiết bị công nghệ mới nhất? Hãy kiểm tra các hướng dẫn mua sắm và ưu đãi tốt nhất của chúng tôi suốt cả năm
• 📩 Muốn thêm nhiều hơn? Đăng ký bản tin hàng ngày của chúng tôi và đừng bao giờ bỏ lỡ những câu chuyện mới nhất và tuyệt vời nhất của chúng tôi