Một số ứng dụng Android cấu hình cao vẫn đang sử dụng phiên bản chưa được vá lỗi của thư viện cập nhật ứng dụng được sử dụng rộng rãi của Google, có khả năng khiến dữ liệu cá nhân của hàng trăm triệu người dùng điện thoại thông minh có nguy cơ bị hack.
Nhiều ứng dụng phổ biến, bao gồm Grindr, Bumble, OkCupid, Cisco Teams, Moovit, Yango Pro, Microsoft Edge, Xrecorder và PowerDirector, vẫn dễ bị tấn công và có thể bị tấn công để lấy cắp dữ liệu nhạy cảm, chẳng hạn như mật khẩu, chi tiết tài chính và e-mail .
Lỗi, được theo dõi là CVE-2020-8913, được xếp hạng 8,8 / 10,0 về mức độ nghiêm trọng và ảnh hưởng đến các phiên bản Thư viện Play Core của Android trước 1.7.2.
Mặc dù Google đã giải quyết lỗ hổng bảo mật vào tháng 3, phát hiện mới từ Nghiên cứu của Check Point cho thấy nhiều nhà phát triển ứng dụng bên thứ ba vẫn chưa tích hợp thư viện Play Core mới vào ứng dụng của họ để giảm thiểu hoàn toàn mối đe dọa.
“Không giống như các lỗ hổng phía máy chủ, nơi lỗ hổng được vá hoàn toàn sau khi bản vá được áp dụng cho máy chủ, đối với các lỗ hổng phía máy khách, mỗi nhà phát triển cần lấy phiên bản mới nhất của thư viện và chèn nó vào ứng dụng”, hãng an ninh mạng cho biết trong một báo cáo.
Thư viện Play Core là một Thư viện Android cho phép các nhà phát triển quản lý việc phân phối các mô-đun tính năng mới một cách hiệu quả, kích hoạt các bản cập nhật trong ứng dụng trong thời gian chạy và tải xuống các gói ngôn ngữ bổ sung.
Báo cáo lần đầu tiên vào cuối tháng 8 bởi các nhà nghiên cứu tại startup bảo mật ứng dụng Quá bảo đảm, vấn đề cho phép kẻ đe dọa đưa các tệp thực thi độc hại vào bất kỳ ứng dụng nào dựa vào thư viện, do đó cấp cho kẻ tấn công toàn quyền truy cập vào tất cả các tài nguyên của ứng dụng bị xâm phạm.
Lỗ hổng này bắt nguồn từ một lỗ hổng truyền qua đường dẫn trong thư viện có thể bị khai thác để tải và thực thi mã độc hại (ví dụ: tệp APK) vào một ứng dụng mục tiêu nhằm đánh cắp thông tin đăng nhập, mật khẩu, chi tiết tài chính và thông tin nhạy cảm khác của người dùng được lưu trữ trong nó.
Hậu quả của việc khai thác thành công lỗ hổng này là rất lớn. Nó có thể được sử dụng để “đưa mã vào các ứng dụng ngân hàng để lấy thông tin đăng nhập và đồng thời có quyền SMS để lấy cắp mã xác thực hai yếu tố (2FA)”, lấy tin nhắn từ các ứng dụng trò chuyện, theo dõi vị trí của người dùng và thậm chí giành quyền truy cập vào các tài nguyên của công ty bằng cách giả mạo các ứng dụng của doanh nghiệp.
Theo Nghiên cứu của Check Point, trong số 13% ứng dụng Google Play được phân tích vào tháng 9 năm 2020, 8% trong số đó có phiên bản dễ bị tấn công.
Sau khi công ty an ninh mạng tiết lộ những phát hiện của họ một cách có trách nhiệm, Viber, Meetup và Booking.com đã cập nhật ứng dụng của họ lên phiên bản thư viện được vá.
Các nhà nghiên cứu cũng đã chứng minh khái niệm bằng chứng sử dụng phiên bản dễ bị tấn công của ứng dụng Google Chrome để hút các dấu trang được lưu trữ trong trình duyệt thông qua một trọng tải chuyên dụng.
“Chúng tôi ước tính rằng hàng trăm triệu người dùng Android đang gặp rủi ro về bảo mật”, Giám đốc Nghiên cứu Di động của Check Point, Aviran Hazum, cho biết. “Mặc dù Google đã triển khai bản vá, nhiều ứng dụng vẫn đang sử dụng các thư viện Play Core lỗi thời. Lỗ hổng CVE-2020-8913 rất nguy hiểm, [and] khả năng tấn công ở đây chỉ bị giới hạn bởi trí tưởng tượng của kẻ đe dọa. “
