Lỗ hổng Strandhogg 2.0 đe dọa hơn 1 tỷ người dùng Android

08:19 | 08/06/2020

chưa có sapo

Promon, một công ty an ninh thông tin Na Uy, vừa thông báo về một lỗ hổng nghiêm trọng mà họ đặt tên là Strandhogg 2.0. Promon nói rằng Strandhogg và một chiến thuật cổ của người Bắc Âu để tấn công bờ biển và bắt cóc. Và lỗ hổng mới là anh em sinh đôi của lỗ hổng Strandhogg – cũng được Promon phát hiện năm 2019.

Lỗ hổng Strandhogg đầu sử dụng một tính năng Android có tên taskAffinity để chiếm quyền điều khiển các ứng dụng, bằng cách đặt taskAffality của một trong các hoạt động của nó để khớp với tên của bất kỳ ứng dụng nào khác, sau đó cài đặt allowTaskReparenting = "true" trong bản kê khai của chính nó, ứng dụng Strandhogg sẽ được khởi chạy thay cho ứng dụng mục tiêu.

Hãy tưởng tượng việc nhấn vào biểu tượng Gmail hợp pháp trên điện thoại của bạn và nhận được dấu nhắc đăng nhập hợp pháp, giống hệt với biểu tượng bạn thấy nếu tài khoản của bạn đã bị đăng xuất. Bạn sẽ nhập thông tin đăng nhập hay không? Nếu một trong những trò chơi hoặc ứng dụng miễn phí mà bạn hoặc một đứa trẻ có thể đã cài đặt là một ứng dụng lợi dụng lỗ hổng Strandhogg, bạn đã cung cấp thông tin đăng nhập cho kẻ tấn công mà thậm chí có thể tự khởi chạy ứng dụng Gmail ngay sau khi kiểm tra thông tin đăng nhập của bạn, không để lại dấu hiệu rõ ràng nào cho thấy bạn đã bị đánh cắp mật khẩu.

Điểm yếu lớn nhất của 1.0 của Strandhogg là cần phải khai báo taskAffality trong Bản kê khai Android (manifest). Manifest là một tệp XML đơn giản và phải được đưa vào đóng gói và được lưu trữ tại Play Store, nó không thể được tải xuống sau đó, sau khi ứng dụng được cài đặt. Điều này khiến chúng ta có thể phát hiện mã độc một cách tương đối đơn giản bằng cách kiểm tra manifest để phát hiện taskAffinity. Strandhogg 2.0 không yêu cầu bất kỳ một cài đặt đặc biệt nào trong Manifest của ứng dụng, điều này có nghĩa là mã tấn công không cần phải có trên Play Store. Thay vào đó, kẻ tấn công có thể tải xuống mã tấn công sau khi ứng dụng hoặc trò chơi đã được cài đặt trên thiết bị của người dùng.

Ngoài các cuộc tấn công đánh cắp thông tin rõ ràng, Strandhogg có thể được sử dụng để lừa người dùng cấp thêm các đặc quyền cho ứng dụng độc hại trên sự tin tưởng mà họ dành cho các ứng dụng mà nó chiếm quyền điều khiển. Ví dụ: một người dùng chạm vào Camera được hỏi liệu họ có muốn cấp quyền truy cập vào camera và micrô hay không, nếu người dùng chọn Có, họ thực ra đã trao những đặc quyền đó cho ứng dụng độc hại, chứ không phải ứng dụng Camera nằm phía dưới.

Strandhogg 2.0 ảnh hưởng đến tất cả các phiên bản trước Android 10, có nghĩa là khoảng 90% cơ sở người dùng Android. Các nhà nghiên cứu bảo mật có trách nhiệm báo cáo lỗ hổng mới cho Google vào tháng 12 năm ngoái. Promon đã tuân theo các hướng dẫn công bố có trách nhiệm trước khi công khai cách khai thác lỗ hổng (và họ vẫn đang chờ 90 ngày trước khi tiết lộ đầy đủ cách thức hoạt động của StrandHogg 2.0). 

Google đánh giá đây là lỗ hổng nghiêm trọng, đã chuẩn bị một bản vá và chia sẻ nó với các công ty sản xuất điện thoại thông minh vào tháng 4 năm 2020. Bản vá cho lỗ hổng này (được gán mã CVE-2020-0096) có trong Bản cập nhật bảo mật Android tháng 5. Google cũng đã cung cấp các bản vá lỗi cho Android 8.0 Oreo, Android 8.1 Oreo và Android 9 Pie với Cấp độ vá bảo mật Android (SPL) tháng 5 năm 2020. Người dùng trên Android 10 trở lên không dễ bị tấn công, mặc dù chưa rõ lý do tại sao điều đó lại xảy ra. Nó có khả năng liên quan đến các hạn chế mới của Android 10 liên quan đến việc khởi chạy Activity và cách Google tích hợp nó vào ngăn xếp tác vụ.

Lỗ hổng cũ Strandhogg 1.0 chưa được vá và có khả năng sẽ không được vá. Có vẻ như Google thích chơi trò “đập chuột” với các ứng dụng tinh ranh khi chúng được tải lên cửa hàng Play, vì họ có thể quét trực tiếp các lỗ hổng đó trong bản kê khai của các ứng dụng.

Các lỗ hổng StrandHogg rất nguy hiểm và đáng lo ngại vì:

- Người dùng mục tiêu gần như không thể phát hiện cuộc tấn công,

- Có thể được sử dụng để chiếm quyền điều khiển giao diện của bất kỳ ứng dụng nào được cài đặt trên thiết bị được nhắm mục tiêu mà không yêu cầu cấu hình,

- Có thể được sử dụng để yêu cầu bất kỳ quyền nào một cách gian lận,

- Có thể được khai thác mà không cần quyền root,

- Hoạt động trên tất cả các phiên bản Android, trừ phiên bản 10.

- Không cần bất kỳ sự cho phép đặc biệt nào để làm việc trên thiết bị.

"Sử dụng StrandHogg 2.0, kẻ tấn công có thể, một khi ứng dụng độc hại được cài đặt trên thiết bị, có quyền truy cập vào tin nhắn và hình ảnh riêng tư, đánh cắp thông tin đăng nhập của nạn nhân, theo dõi các chuyển động nhờ GPS, thực hiện và / hoặc ghi lại cuộc trò chuyện qua điện thoại và theo dõi qua điện thoại máy ảnh và micro ", các nhà nghiên cứu cho biết.

"Phần mềm độc hại khai thác StrandHogg 2.0 cũng sẽ khó phát hiện hơn đối với các trình chống vi-rút và bảo mật và do đó, gây nguy hiểm đáng kể cho người dùng cuối", họ nói thêm.

Mặc dù không có cách nào hiệu quả và đáng tin cậy để chặn hoặc phát hiện các cuộc tấn công chiếm quyền điều khiển, người dùng vẫn có thể phát hiện ra các cuộc tấn công đó bằng cách theo dõi sự khác biệt đã được chia sẻ trong khi báo cáo về StrandHogg 1.0, như khi:

- Một ứng dụng bạn đã đăng nhập lại yêu cầu đăng nhập,

- Cửa sổ đề nghị cấp quyền bật lên không chứa tên ứng dụng,

- Quyền được yêu cầu từ một ứng dụng không nên hoặc không cần quyền mà nó yêu cầu,

- Các nút và liên kết trong giao diện người dùng không làm gì khi nhấp vào,

- Nút Back (quay lại) không hoạt động như mong đợi.

Các nhà phát triển ứng dụng thì phải đảm bảo rằng tất cả các ứng dụng được phân phối với các biện pháp bảo mật thích hợp nhằm giảm thiểu rủi ro của các cuộc tấn công. Các biện pháp này bao gồm thiết lập tất cả các hoạt động công khai của ứng dụng thành launchMode=”singleTask” hoặc launchMode=”singleIn stance” trong tệp AndroidManifest.xml. Một trong hai cờ này sẽ ngăn chặn việc chèn tác vụ tiêm – thứ mà StrandHogg 2.0 dựa vào. Tuy nhiên, việc Activity của bạn sử dụng một trong những cờ này có thể gây ra sự cố với một số luồng ứng dụng nhất định, do đó, nó không phải lúc nào cũng nên áp dụng.

https://thehackernews.com/2020/05/stranhogg-android-vulnerability.html
https://arstechnica.com/information-technology/2020/05/new-android-flaw-could-let-malicious-apps-hijack-trusted-apps-icons/
https://www.xda-developers.com/strandhogg-2-0-android-vulnerability-explained-developer-mitigation/

Đồng chí biên tập lưu ý, khi biên tập: Viết sapo cho bài; Xóa đường link cuối bài.