Hàng Triệu Thiết Bị Android Tỏ Ra Dễ Tấn Công Ngay Từ Lúc Đầu

Các vấn đề bảo mật trên điện thoại thông minh của bạn thường là tự gây ra: Bạn click vào liên kết sai, hoặc cài đặt ứng dụng không đúng. Nhưng đối với hàng triệu thiết bị Android, những lỗ hổng đã được tích hợp sẵn từ trước, sâu trong firmware, chỉ chờ đợi để bị khai thác. Ai đã đặt chúng ở đó? Một số kết hợp của nhà sản xuất và nhà mạng đã bán nó cho bạn.

Đó là điểm chính của phân tích mới từ công ty an ninh di động Kryptowire, mô tả về những lỗi loại bỏ trước được tích hợp sẵn trong 10 thiết bị được bán trên các nhà mạng lớn tại Hoa Kỳ. CEO của Kryptowire Angelos Stavrou và giám đốc nghiên cứu Ryan Johnson sẽ trình bày nghiên cứu của họ, được tài trợ bởi Bộ An Ninh Nội Địa, tại Hội nghị an ninh Black Hat vào thứ Sáu.

Các kết quả tiềm ẩn của những lỗ hổng có độ nghiêm trọng khác nhau, từ khả năng khóa ai đó khỏi thiết bị của họ đến việc truy cập âm thanh và các chức năng khác một cách âm thầm. Tất cả chúng đều có một đặc điểm chung, tuy nhiên: Chúng không cần phải ở đó.

Thay vào đó, chúng là sản phẩm phụ của hệ điều hành Android mở cho phép các công ty bên thứ ba sửa đổi mã nguồn theo ý muốn của họ. Không có gì inherently sai ở đó; nó cho phép sự khác biệt, tạo ra nhiều lựa chọn cho người dùng. Google sẽ phát hành phiên bản nguyên chất của Android Pie vào mùa thu này, nhưng nó sẽ dần dần xuất hiện trong nhiều hương vị khác nhau.

Những sửa đổi đó dẫn đến những vấn đề đau đầu, bao gồm vấn đề phổ biến về việc trì hoãn cập nhật bảo mật. Chúng cũng có thể, như Stavrou và đội ngũ của anh đã phát hiện, dẫn đến các lỗi firmware đe dọa người dùng.

“Vấn đề sẽ không biến mất, vì nhiều người trong chuỗi cung ứng muốn thêm ứng dụng của họ, tùy chỉnh, thêm mã của họ. Điều này tăng diện tích tấn công và tăng khả năng lỗi phần mềm,” Stavrou nói. “Họ đang ti exposingng người dùng cuối cho những tấn công mà người dùng cuối không thể đáp ứng được.”

Buổi nói chính tập trung chủ yếu vào các thiết bị từ Asus, LG, Essential và ZTE. Cái cuối cùng nên làm tăng sự quan tâm; Cơ quan An ninh Nội địa Hoa Kỳ đã đề xuất rằng công ty có trụ sở tại Trung Quốc này đưa ra mối đe doạ về an ninh, mặc dù cơ quan này chưa chia sẻ bất kỳ bằng chứng cụ thể nào để chứng minh điều đó.

Và mặc dù được tài trợ bởi DHS, nghiên cứu của Kryptowire cũng không cung cấp điều đó. Thay vào đó, thay vì tập trung vào ý định của nhà sản xuất, nó nhìn vào vấn đề bệnh học của mã lệnh xấu được đẩy bởi các bên tham gia trong hệ sinh thái Android rộng lớn.

Như chiếc Asus ZenFone V Live, Kryptowire phát hiện để lại chủ sở hữu tiếp xúc với một việc tiếp quản toàn bộ hệ thống, bao gồm chụp ảnh màn hình và ghi video, thực hiện cuộc gọi điện thoại, đọc và sửa đổi tin nhắn văn bản, và nhiều hơn nữa.

“Asus đã nhận thức về những lo ngại về bảo mật gần đây về ZenFone và đang nỗ lực và nhanh chóng để giải quyết chúng bằng các bản cập nhật phần mềm sẽ được phân phối qua không khí đến người dùng ZenFone của chúng tôi,” công ty nói trong một tuyên bố. “Asus cam kết đảm bảo an ninh và quyền riêng tư cho người dùng và chúng tôi rất khuyến khích tất cả người dùng cập nhật lên phần mềm ZenFone mới nhất để đảm bảo trải nghiệm người dùng an toàn và bảo mật.”

Ở thời điểm này, việc đưa ra bản cập nhật là điều tốt nhất mà Asus có thể làm để dọn dẹp tình hình mà họ gây ra. Nhưng Stavrou đặt nghi ngờ về hiệu suất của quá trình vá lỗi. “Người dùng phải chấp nhận bản vá. Vì vậy, ngay cả khi họ gửi nó đến điện thoại, bạn cũng có thể không chấp nhận cập nhật,” ông nói. Ông cũng lưu ý rằng trên một số mẫu Kryptowire đã kiểm tra, quá trình cập nhật chính nó đã bị hỏng, một phát hiện được hỗ trợ bởi một nghiên cứu gần đây từ công ty an ninh Đức Security Research Labs.

Các cuộc tấn công mà Kryptowire mô tả chủ yếu đòi hỏi người dùng cài đặt ứng dụng. Nhưng trong khi điều đó thường là yếu tố hạn chế tốt cho các hack tiềm ẩn—hãy sử dụng cửa hàng Google Play, mọi người—Stavrou nói rằng điều làm cho những lỗ hổng này độc hại đó là những ứng dụng đó không cần có đặc quyền đặc biệt khi bạn cài đặt chúng. Một ứng dụng, nói cách khác, không cần phải lừa dối bạn để cấp quyền truy cập vào tin nhắn văn bản và cuộc gọi của bạn. Nó sẽ lấy nó, đơn giản và im lặng, nhờ vào firmware hỏng hóc của thiết bị.

Tình huống đó có thể dẫn đến nhiều kết quả khác nhau, tùy thuộc vào thiết bị. Đối với ZTE Blade Spark và Blade Vantage, những lỗi firmware sẽ cho phép bất kỳ ứng dụng nào cũng có thể truy cập tin nhắn văn bản, dữ liệu cuộc gọi và bản ghi logcat, thu thập các tin nhắn hệ thống và có thể bao gồm thông tin nhạy cảm như địa chỉ email, tọa độ GPS, và nhiều hơn nữa. Trên LG G6, mẫu phổ biến nhất trong báo cáo của Kryptowire, lỗ hổng có thể tiếp cận bản ghi logcat, hoặc được sử dụng để khóa người dùng khỏi thiết bị của họ. Và một kẻ tấn công có thể thiết lập lại nhà máy một chiếc Essential Phone, xóa cả dữ liệu và bộ nhớ đệm.

“Khi chúng tôi nhận thức về lỗ hổng, đội ngũ của chúng tôi đã ngay lập tức khắc phục,” nói Shari Doherty, trưởng phòng truyền thông của Essential.

LG có vẻ đã giải quyết một số vấn đề cơ bản nhưng không phải tất cả. “LG đã nhận thức về những lỗ hổng và đã giới thiệu các bản cập nhật bảo mật để giải quyết những vấn đề này. Trên thực tế, hầu hết những lỗ hổng được báo cáo đã được vá hoặc đã được bao gồm trong các bản cập nhật bảo dưỡng định kỳ sắp tới không liên quan đến rủi ro bảo mật,” công ty nói trong một tuyên bố.

Còn đối với ZTE, công ty nói trong một tuyên bố rằng nó đã “đã phát hành và/hoặc đang cùng các nhà mạng hôm nay để phát hành các bản cập nhật bảo dưỡng để khắc phục những vấn đề được xác định này. ZTE sẽ tiếp tục hợp tác với các đối tác công nghệ và khách hàng nhà mạng để phát hành các bản cập nhật bảo dưỡng trong tương lai và liên tục nhằm bảo vệ thiết bị cho người tiêu dùng,”.

Một người phát ngôn của AT&T đã xác nhận rằng nhà mạng này đã “triển khai các bản vá phần mềm của nhà sản xuất để giải quyết vấn đề này.” Verizon và Sprint không phản hồi lại các yêu cầu để có ý kiến. T-Mobile chuyển cho CTIA, một hiệp hội thương mại ngành công nghiệp không dây, mà lần lượt từ chối phản hồi cho đến khi có cơ hội xem xét các kết quả của Kryptowire.

Dãy tuyên bố này cho thấy có tiến triển, nhưng cũng làm nổi bật vấn đề chính. Quá trình cập nhật này có thể mất tháng để tạo ra và kiểm tra, Stavrou nói, và cần phải đi qua đường hầm từ nhà sản xuất đến nhà mạng rồi đến khách hàng. Trong khi bạn đợi, không có gì bạn có thể làm để sửa vấn đề này, hoặc thực tế thậm chí là xác định nó ban đầu.

“Một điều rõ ràng là không có ai bảo vệ người tiêu dùng,” Stavrou nói. “Nó nằm sâu trong hệ thống đến mức người tiêu dùng có thể không thể nào biết được nó ở đó. Hoặc thậm chí nếu họ biết, họ không có cách thanh khoản nào khác ngoài việc đợi nhà sản xuất, hoặc nhà mạng, hoặc ai đó đang cập nhật firmware để làm như vậy.”

Trong khi đó, đây chỉ là lô thông tin đầu tiên trong một đường ống dài mà Kryptowire sẽ công bố trong tương lai. (Chưa công bố, để đưa cho các công ty đủ thời gian để phản hồi.)

“Chúng tôi muốn cảm ơn các nhà nghiên cứu an ninh tại Kryptowire vì nỗ lực của họ để củng cố an ninh của hệ sinh thái Android. Những vấn đề mà họ đã chỉ ra không ảnh hưởng đến hệ điều hành Android chính nó, mà thay vào đó, là mã và ứng dụng bên thứ ba trên các thiết bị,” một người phát ngôn của Google nói trong một tuyên bố.

Mã và những ứng dụng của bên thứ ba này có vẻ không có kế hoạch biến mất trong thời gian sớm. Và miễn là chúng ở đó, hãy mong đợi những vấn đề ẩn sâu này tiếp tục.

• Đằng sau The Meg, bộ phim mà internet không để chết
• Các bước đơn giản để bảo vệ bản thân trên Wi-Fi công cộng
• Làm thế nào để kiếm triệu từ việc tính phí tù nhân khi gửi email
• Người nào chịu trách nhiệm về thói quen công nghệ xấu của bạn? Đó là việc phức tạp
• Di truyền học (và đạo đức) về việc làm cho con người thích hợp cho sao Hỏa
• Đang tìm kiếm thêm? Đăng ký nhận bản tin hàng ngày của chúng tôi và đừng bao giờ bỏ lỡ những câu chuyện mới nhất và tuyệt vời nhất của chúng tôi