Lỗ hổng bảo mật đe dọa 950 triệu thiết bị chạy Android

15:55 | 05/08/2015

Các chuyên gia bảo mật của Zimperium zLabs đã phát hiện một lỗ hổng bảo mật mới khiến 95% thiết bị Android (khoảng 950 triệu máy) có nguy cơ bị tin tặc tấn công lấy cắp dữ liệu cá nhân thông qua tin nhắn đa phương tiện.



Lỗ hổng bảo mật này nằm trong thư viện Stagefright của hệ điều hành Android được viết bằng C++ có thể gây lỗi bộ nhớ. Tin tặc có thể chiếm quyền điểu khiển thiết bị khi chỉ cần biết số điện thoại di động của nạn nhân để gửi cho họ một tin nhắn đa phương tiện (MMS) có chủ đích. 

Khi nhận được tin nhắn MMS có chứa một video, thư viện Stagefright sẽ được gọi để sinh hình ảnh xem trước cho đoạn video đó. Mã độc nhúng trong đoạn video được tự động thực thi mà không cần đến thao tác của người dùng. Tức là mã độc được kích hoạt ngay cả khi video chưa được xem bởi người dùng. Sau khi kích hoạt, đoạn mã độc hại có thể xóa mọi dấu vết và chạy lại lần thứ hai nếu đoạn video được xem lại.

Lỗ hổng bảo mật này tồn tại từ phiên bản 2.2 cho đến phiên bản mới nhất 5.1.1, nghĩa là hầu hết mọi phiên bản của hệ điều hành Android. Zimperium zLabsước tính rằng có đến 95% người dùng Android sẽ bị ảnh hưởng bởi lỗ hổng của Stagefright. Nói một cách chính xác, lỗ hổng Stagefright là một tổ hợp gồm 7 lỗi, được định danh: CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828 và CVE-2015-3829.

Nếu thiết bị sử dụng Android Jellybean 4.1 hay mới hơn (chiếm khoảng 9/10 số thiết bị trên thị trường) thì sẽ được bảo vệ ở một mức nhất định. Mỗi ứng dụng được chạy bên trong sandbox riêng, ngăn không cho chúng truy xuất dữ liệu của các ứng dụng khác. Điều này có thể bảo vệ dữ liệu của ứng dụng giao dịch ngân hàng khỏi mã độc chạy trong các sandbox khác. Tuy nhiên, không có điều gì chắc 100% là mã độc không phá vỡ được bức tường ngăn cách do hệ điều hành dựng lên. Ngoài ra, nếu đoạn video chứa mã độc lây vào ứng dụng nhắn tin thì tất cả các thông điệp trao đổi đã nằm trong vòng kiểm soát của tin tặc. Chưa hết, trên một số thiết bị, thư viện Stagefright có thể chạy với quyền hệ thống. Điều đó có nghĩa là tin tặc chỉ cách quyền root “vài bước chân”. Ngay cả nếu mã độc không vượt ra khỏi sandbox thì vẫn có thể truy cập máy ảnh, microphone và thẻ nhớ.

Những thiết bị chạy Android cũ hơn 4.1 (chiếm khoảng 1/10 số thiết bị trên thị trường) hoàn toàn bị mã độc kiểm soát. Gần như không có cơ chế nào bảo vệ người dùng các thiết bị đó.

Tuy chưa phát hiện vụ khai thác thành công lỗ hổng này trên thực tế, nhưng thông tin về lỗ hổng đã được công bố và tin tặc sẽ có thể bắt đầu viết các đoạn mã khai thác để thực hiện tấn công. Joshua Drake, phó chủ tịch phụ trách nghiên cứu và khai thác hệ điều hành của Zimperium, sẽ trình bày chi tiết về lỗ hổng này tại các hội thảo Black Hat ngày 5/8 và DEF CON 23 ngày 7/8/2015 tại Las Vegas.

Sau khi nhận được cảnh báo và bản vá lỗi của Zimperium zLabs, Google đã nhanh chóng áp dụng biện pháp sửa lỗi cho các đoạn mã liên quan trong vòng 48 giờ, nhưng điều đó chỉ áp dụng cho những người dùng Google Nexus. Zimperium cũng cho biết Silent Circle đã cập nhật cho Blackphone. Tuy nhiên, do Google Nexus 6 và Blackphone chiếm một tỷ lệ rất nhỏ trên thị trường nên phần lớn người dùng vẫn đang trong vòng nguy hiểm. Các nhà sản xuất điện thoại Android vốn nổi tiếng trong việc chậm nâng cấp phần mềm cho khách hàng. Rất nhiều khách hàng thậm chí không bao giờ nhận được bản cập nhật cho hệ điều hành Android. Điều đó có nghĩa là rất nhiều thiết bị Android đang thường trực nguy cơ bị chiếm quyền kiểm soát, trừ khi người dùng thực hiện root máy để từ cài bản Android khác. Do đây là lỗ hổng của hệ điều hành nên việc cập nhật các ứng dụng không có tác dụng gì.

 Một số cách thức phòng tránh:

Vô hiệu Google Hangouts - ứng dụng nhắn tin MMS mặc định trên Android

Chỉnh sửa thiết lập proxy, cổng MMS, tên người dùng, mật khẩu và quan trọng nhất là APN trong mục Điểm truy cập APN để tránh vô tình xem các tin nhắn MMS độc hại (nhưng bạn cũng sẽ không thể gửi/nhận MMS nữa)

Cài đặt và sử dụng Firefox phiên bản 38 trở lên thay cho trình duyệt mặc định của Android.