Hướng tấn công mới (Man in the Disk) trên các thiết bị di động sử dụng hệ điều hành Android
Các nhà nghiên cứu bảo mật tại Check Point Software Technologies đã phát hiện ra một hướngtấn công mới chống lại hệ điều hành Android có khả năng cho phép kẻ tấn công âm thầm lây nhiễm điện thoại thông minh của bạn với các ứng dụng độc hại hoặc khởi động các cuộc tấn công từ chối dịch vụ.
Được gọi là Man-in-the-Disk , cuộc tấn công tận dụng lợi thế của cách các ứng dụng Android sử dụng hệ thống 'Lưu trữ bên ngoài' để lưu trữ dữ liệu liên quan đến ứng dụng, nếu giả mạo có thể dẫn đến việc tiêm mã trong bối cảnh đặc quyền của ứng dụng mục tiêu.
Cần lưu ý rằng các ứng dụng trên hệ điều hành Android có thể lưu trữ tài nguyên trên thiết bị ở hai vị trí — bộ nhớ trong và bộ nhớ ngoài.
Bản thân Google cung cấp các hướng dẫn cho các nhà phát triển ứng dụng Android kêu gọi họ sử dụng bộ nhớ trong, đây là một không gian riêng biệt được phân bổ cho mỗi ứng dụng được bảo vệ bằng Android’s built-in sandbox, để lưu trữ các tệp hoặc dữ liệu nhạy cảm của họ.
Tuy nhiên, các nhà nghiên cứu nhận thấy rằng nhiều ứng dụng phổ biến - bao gồm cả Google Translate, Yandex Translate, Google Voice Typing, Google Text-to-Speech, trình duyệt Xiaomi — đang sử dụng bộ nhớ ngoài không được bảo vệ có thể truy cập được bằng bất kỳ ứng dụng nào được cài đặt trên cùng một thiết bị .
Làm thế nào kiểu tấn công Man-in-the-Disk hoạt động?
Tương tự như tấn công "Man-in-the-middle", khái niệm tấn công "man-in-the-disk" (MitD) liên quan đến việc chặn và thao tác dữ liệu được trao đổi giữa bộ nhớ ngoài và ứng dụng, nếu được thay thế bằng dẫn xuất được chế tạo cẩn thận "sẽ dẫn đến kết quả có hại".
Ví dụ, các nhà nghiên cứu nhận thấy rằng trình duyệt web Xiaomi tải xuống phiên bản mới nhất của nó trên bộ nhớ ngoài của thiết bị trước khi cài đặt bản cập nhật. Vì ứng dụng không xác thực tính toàn vẹn của dữ liệu, mã cập nhật hợp lệ của ứng dụng có thể được thay thế bằng mã độc hại.
"Trình duyệt Xiaomi đã được tìm thấy đang sử dụng bộ nhớ ngoài như một tài nguyên dàn dựng cho các bản cập nhật ứng dụng", các nhà nghiên cứu cho biết.
"Kết quả là, nhóm của chúng tôi đã có thể thực hiện một cuộc tấn công mà mã cập nhật của ứng dụng đã được thay thế, dẫn đến việc cài đặt một ứng dụng thay thế, không mong muốn thay vì cập nhật hợp pháp".
Theo cách này, kẻ tấn công có thể nhận vị trí trên đĩa, từ đó họ có thể giám sát dữ liệu được truyền giữa bất kỳ ứng dụng nào khác trên điện thoại thông minh của người dùng và bộ nhớ ngoài và ghi đè lên bằng phiên bản độc hại của riêng họ để thao tác hoặc phá vỡ chúng.
Cuộc tấn công cũng có thể bị lạm dụng để cài đặt một ứng dụng độc hại khác chạy nền mà người dùng không biết, có thể sử dụng để leo thang đặc quyền và truy cập vào các phần khác của thiết bị Android như máy ảnh, micrô, danh sách liên hệ và hơn thế nữa.
Trình diễn video tấn công Man-in-the-Disk
Các nhà nghiên cứu của Check Point cũng quản lý để thỏa hiệp các tệp và làm hỏng Google Translate, Google Voice-to-Text và Yandex Dịch vì các ứng dụng đó cũng không thể xác thực tính toàn vẹn của dữ liệu được sử dụng từ bộ nhớ ngoài của Android.
https://www.youtube.com/watch?v=M3rQ_J8rS7c#action=share
Trong số các ứng dụng mà các nhà nghiên cứu của Check Point đã thử nghiệm cho cuộc tấn công MitD mới này là Google Translate, Yandex Translate, Google Voice Typing, LG Application Manager, LG World, Google Text-to-Speech và trình duyệt Xiaomi.
Google, chính nó không tuân thủ các nguyên tắc bảo mật của nó, đã thừa nhận và sửa một số ứng dụng bị ảnh hưởng và đang trong quá trình sửa các ứng dụng dễ bị tổn thương khác, Check Point cho biết.
Bên cạnh Google, các nhà nghiên cứu cũng tiếp cận các nhà phát triển của các ứng dụng dễ bị tổn thương khác, nhưng một số, bao gồm, Xiaomi từ chối khắc phục vấn đề này, theo các nhà nghiên cứu.
"Khi phát hiện ra các lỗ hổng ứng dụng này, chúng tôi đã liên hệ với Google, Xiaomi và các nhà cung cấp các ứng dụng dễ bị tổn thương khác để cập nhật chúng và yêu cầu phản hồi của họ", các nhà nghiên cứu của Check Point cho biết.
"Bản sửa lỗi cho các ứng dụng của Google đã được phát hành ngay sau đó, các ứng dụng dễ bị tổn thương đang được cập nhật và sẽ được tiết lộ khi bản vá được cung cấp cho người dùng của họ, trong khi Xiaomi đã chọn không giải quyết nó vào lúc này."
Các nhà nghiên cứu nhấn mạnh rằng họ chỉ thử nghiệm một số lượng nhỏ ứng dụng chính và do đó mong đợi vấn đề ảnh hưởng đến số lượng ứng dụng Android đáng kể hơn so với những gì họ đã ghi nhận rõ ràng, khiến hàng triệu người dùng Android có nguy cơ bị đe doạ trực tuyến.
(chiahacking.top)