Android có thêm lỗi bảo mật nguy hiểm

 TTO - Một lỗi thứ hai trong hệ điều hành Android có thể bị khai khẩn điều chỉnh các áp dụng Android mà không phá vỡ chứng thực số đã được cấp của chúng. 

Android đang có những lỗi bảo mật rất hiểm, ảnh hưởng lớn đến dữ liệu và an toàn thông tin người dùng thiết bị sử dụng hệ điều hành này - Ảnh minh họa: TechHive Lỗi được một chuyên viên nghiên cứu bảo mật người Trung Quốc đăng tải trên mạng Sina. Lỗi khác biệt với lỗi bảo mật "masterkey" được giới bảo mật khám phá trong tuần trước bởi Bluebox Security, dù cả hai đều có thể bị tin tặc khai khẩn chèn mã độc vào tập tin áp dụng Android đóng gói (APK) mà không phá vỡ chứng thực số của các áp dụng này. Điều này có nghĩa tù nhân mạng có thể gạt gẫm người dùng cài đặt những bản cập nhật giả mạo cho các áp dụng đã được cài đặt trên thiết bị Android. Tùy thuộc vào quyền hạn được cấp cho mỗi áp dụng, tù nhân mạng có thể tiếp cận vơ những dữ liệu riêng tây, nhạy cảm lưu trữ bởi những áp dụng đó. Trường hợp những áp dụng hệ thống là đích nhắm, như các áp dụng cài sẵn theo nhà sản xuất thiết bị, mã độc sẽ ẩn mình trong bản cập nhật để vẫy vùng với những quyền hạn cao nhất. Chuyên viên phân tích bảo mật trên môi trường di động Pau Olivia Fora cho biết đây là một dạng thức khác với lỗi trước đó nhưng có cùng mục đích tấn công. Theo Pau, lỗi bảo mật mới cho phép các tin tặc chèn mã độc vào tập tin APK (tập tin cài đặt áp dụng Android), và "qua mặt" được tiến trình chứng thực chữ ký số. Các tập tin có thể được hiệu chỉnh mang tên classes.dex, tuy nhiên, có một giới hạn khi triển khai cuộc tấn công, dung lượng tập tin mục tiêu cần nhỏ hơn 64KB. Ngoài ra, các tập tin APK đã bị chỉnh sửa có thể quét được, nhưng phương thức quét cho các áp dụng này khác biệt với lỗi đã được công bố trong tuần trước. Chi tiết kỹ thuật để có thể thực hiện các cuộc tấn công dựa trên lỗi đang được giữ kín, nhằm tạo điều kiện cho các nhà sản xuất thiết bị dùng Android có đủ thời gian để phát hành cập nhật firmware chứa bản vá lỗi. Hiện tại, Google khước từ bình luận với thông tin công bố mới này. Nguy cơ từ việc chèn mã độc vào tập tin APK một cách "hợp lệ" này rất hiểm, phạm vi ảnh hưởng lớn, vì tù nhân mạng có thể trục lợi qua việc chèn mã độc vào các game, áp dụng phổ biến...để thực hiện các hành vi xấu mà người dùng không hề hay biết. Đáng lo ngại hơn, nhiều thiết bị ra mắt các năm trước theo vòng đời sản phẩm sẽ không còn nhận được sự hỗ trợ từ nhà sản xuất. Bản cập nhật vá lỗi sẽ không đến được người dùng. Nhiều đề xuất đưa các chức năng quét vào ngay trong chợ áp dụng Google Play để chặn cửa trước hết. Người dùng được khuyến cáo không tải hay cài đặt tập tin APK từ các nguồn không đáng tin tức. Google tuyên bố đã phát hành bản vá khắc phục lỗi "MasterKey" trong tuần qua đến các nhà sản xuất thiết bị Android. Samsung hiện là nhà sản xuất trước hết nhanh tay triển khai bản vá đến một số thiết bị Android của mình. CyanogenMod cũng đã cập nhật chống khai khẩn lỗi này. Người phát ngôn của Google Gina Scigliano cho biết, chợ áp dụng Google Play đã cập nhật chức năng quét lỗi "MasterKey" cho các áp dụng và bản cập nhật của áp dụng có trên Google Play. Nếu áp dụng bị hiệu chỉnh hay chèn mã độc, chúng sẽ bị ngăn lại ở trước cửa. Do đó, người dùng nên tải trực tiếp từ Google Play thay vì từ các nguồn không chính thống khác. Google tuyên bố đã phát hành bản vá khắc phục lỗi "MasterKey" trong tuần qua đến các nhà sản xuất thiết bị Android. Samsung hiện là nhà sản xuất trước hết nhanh tay triển khai bản vá đến một số thiết bị Android của mình. CyanogenMod cũng đã cập nhật chống khai khẩn lỗi này. Người phát ngôn của Google Gina Scigliano cho biết, chợ áp dụng Google Play đã cập nhật chức năng quét lỗi "MasterKey" cho các áp dụng và bản cập nhật của áp dụng có trên Google Play. Nếu áp dụng bị hiệu chỉnh hay chèn mã độc, chúng sẽ bị ngăn lại ở trước cửa. Do đó, người dùng nên tải trực tiếp từ Google Play thay vì từ các nguồn không chính thống khác. PHONG VÂN