Kiểu tấn công này được đặt tên là Man-in-the-Disk (MitD), lợi dụng cách các ứng dụng Android sử dụng hệ thống lưu trữ ngoài (thẻ nhớ) để lưu trữ dữ liệu ứng dụng. Những dữ liệu này có thể bị chỉnh sửa để chèn mã trong phạm vi đặc quyền của ứng dụng bị tấn công.
Hệ điều hành Android lưu trữ tài nguyên trong thiết bị tại hai vị trí: kho lưu trữ trong và kho lưu trữ ngoài. Google khuyến cáo các nhà phát triển ứng dụng Android sử dụng kho lưu trữ trong, nơi mà mỗi ứng dụng được cấp một vùng riêng và được bảo vệ bằng cơ chế sandbox của Android để lưu dữ liệu. Tuy nhiên, rất nhiều ứng dụng phổ biến như Google Translate, Yandex Translate, Google Voice Typing, Google Text-to-Speech, Xiaomi Browser đang sử dụng kho lưu trữ ngoài – nơi không được bảo vệ và có thể được truy cập bởi bất kỳ ứng dụng nào được cài đặt trên cùng thiết bị.
Tương tự như kiểu tấn công Man-in-the-Middle, MitD liên quan tới việc chặn bắt và sửa đổi dữ liệu đang được trao đổi giữa kho lưu trữ ngoài và ứng dụng. Nếu dữ liệu trao đổi bị thay thế bằng một phiên bản sửa đổi khéo léo, người dùng sẽ gặp phải những hậu quả xấu.
Ví dụ, các nhà nghiên cứu nhận thấy trình duyệt web Xiaomi tải bản cập nhật của nó xuống kho lưu trữ ngoài trước khi cài đặt. Do ứng dụng không kiểm tra được tính toàn vẹn của dữ liệu, nên mã cập nhật hợp lệ có thể bị thay thế bằng mã độc và kết quả một phiên bản độc hại vào máy người dùng có thể được cài đặt. Ngoài ra, tin tặc có thể cài đặt thêm các ứng dụng độc hại khác trên thiết bị một cách thầm lặng mà người dùng không hề hay biết. Trong khi đó, ứng dụng độc hại sẽ được sử dụng để leo thang đặc quyền và giành quyền truy cập tới các cấu phần khác của thiết bị như máy ảnh, microphone hay dữ liệu người dùng như danh bạ.…
Bản thân Google không tuân theo hướng dẫn an ninh của họ nhưng đã thừa nhận vấn đề, sửa chữa một số ứng dụng bị ảnh hưởng và đang sửa tiếp các ứng dụng khác. Ngoài Google, các nhà nghiên cứu đã thông báo cho những công ty phát triển ứng dụng về kiểu tấn công mới và việc ứng dụng của họ có thể bị ảnh hưởng. Tuy nhiên, một số nhà phát triển trong đó có Xiaomi vẫn từ chối sửa lỗi.
Các nhà nghiên cứu của Check Point nhấn mạnh rằng, họ mới chỉ kiểm tra một số lượng nhỏ các ứng dụng và cho rằng kiểu tấn công này có thể ảnh hưởng đến rất nhiều ứng dụng Android khác, khiến hàng triệu người dùng đối mặt với nguy cơ mất an toàn.
Nguyễn Anh Tuấn
Theo The Hacker News
10:00 | 28/06/2018
08:00 | 11/06/2018
09:00 | 31/05/2018
10:00 | 18/10/2024
GitLab đã phát hành bản cập nhật bảo mật cho Community Edition (CE) và Enterprise Edition (EE) để giải quyết 08 lỗ hổng bảo mật, bao gồm một lỗ hổng nghiêm trọng có thể cho phép thực thi các CI/CD Pipeline tùy ý.
13:00 | 30/09/2024
Cơ quan Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã thêm 5 lỗ hổng vào danh mục Các lỗ hổng đã biết bị khai thác (KEV), trong đó có lỗ hổng thực thi mã từ xa (RCE) ảnh hưởng đến Apache HugeGraph-Server.
14:00 | 24/09/2024
Xác thực hai yếu tố (2FA) từng được xem là lá chắn vững chắc bảo vệ tài khoản của người dùng. Tuy nhiên, với sự tinh vi ngày càng tăng của các cuộc tấn công mạng, lớp bảo vệ này đang dần trở nên mong manh.
13:00 | 13/09/2024
Cisco đã phát hành bản cập nhật bảo mật để giải quyết hai lỗ hổng nghiêm trọng ảnh hưởng đến tiện ích cấp phép thông minh (Smart Licensing Utility), có thể cho phép kẻ tấn công từ xa chưa được xác thực leo thang đặc quyền hoặc truy cập thông tin nhạy cảm.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể cho phép kẻ tấn công cài phần mềm gián điệp vào bộ nhớ của công cụ trí tuệ nhân tạo (AI).
11:00 | 24/10/2024
