Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Lỗ hổng trên bộ kit Moplus của Baidu ảnh hưởng tới hàng trăm triệu thiết bị Android
Các chuyên gia vừa phát hiện bộ kit phát triển phần mềm của Baidu (Công ty dịch vụ Internet tại Trung Quốc) chứa tính năng gần như backdoor, cho phép tin tặc truy cập vào thiết bị của người dùng. Bộ kit hiện được sử dụng trong hàng nghìn ứng dụng Android.
Bộ kit phát triển phần mềm (Software development kit - SDK) có tên gọi là Moplus được tích hợp vào hơn 14.000 ứng dụng. Trong số này chỉ có khoảng 4.000 ứng dụng là của Baidu.
Các chuyên gia ước tính số ứng dụng bị ảnh hưởng có số người dùng hiện tại là trên 100 triệu.
Theo phân tích, SDK Moplus mở một máy chủ HTTP trên thiết bị nơi các ứng dụng chứa backdoor được cài đặt; máy chủ không sử dụng xác thực và chấp nhận truy vấn từ bất kỳ ai trên Internet.
Nguy hiểm hơn, bằng việc gửi các truy vấn tới máy chủ HTTP ẩn này, tin tặc có thể thực thi các lệnh đặt trước trong SDK. Những lệnh này có thể được sử dụng để trích xuất các thông tin nhạy cảm như dữ liệu vị trí, truy vấn tìm kiếm hay thêm địa chỉ (contact) mới, upload tập tin, thực hiện các cuộc gọi, hiển thị các tin nhắn giả mạo và cài đặt ứng dụng.
Trên các thiết bị đã bị root, SDK cho phép việc âm thầm cài đặt các ứng dụng. Điều này có nghĩa, người dùng sẽ không bị yêu cầu xác nhận khi cài đặt. Trên thực tế, các chuyên gia đã phát hiện mã độc ANDROIDOS_WORMHOLE.HRXA khai thác backdoor này để cài đặt các ứng dụng không mong muốn.
Các chuyên gia cho rằng, theo nhiều khía cạnh thì lỗ hổng Moplus nghiêm trọng hơn lỗ hổng được phát hiện hồi đầu năm trong thư viện Stagefright của Android. Lỗ hổng Stagefright cần điều kiện tin tặc gửi tin nhắn đa phương tiện độc hại đến số điện thoại của người dùng để lừa họ truy cập vào các URL độc hại. Trong khi đó, để khai thác Moplus, tin tặc chỉ đơn giản là scan toàn bộ mạng điện thoại để tìm địa chỉ IP có cổng máy chủ HTTP Moplus cụ thể.
Sau khi được thông báo về vấn đề, Baidu đã đưa ra một phiên bản mới của SDK, trong đó bỏ đi một số câu lệnh. Tuy nhiên, máy chủ HTTP vẫn để mở và một số tính năng trên SDK vẫn có thể bị tin tặc lợi dụng.
Đại diện Baidu cho biết, đoạn code có vấn đề sẽ được gỡ khỏi phiên bản tiếp theo trên các ứng dụng của hãng.
Tuy nhiên, câu hỏi đặt ra là mất bao lâu để các nhà phát triển bên thứ ba sử dụng SDK này cập nhật các ứng dụng của mình lên phiên bản mới nhất? Danh sách 20 ứng dụng bị ảnh hưởng bao gồm cả ứng dụng của các nhà phát triển khác. Một số ứng dụng vẫn đang hiện diện trên Google Play.
Nguồn: ComputerWorld
Bộ kit phát triển phần mềm (Software development kit - SDK) có tên gọi là Moplus được tích hợp vào hơn 14.000 ứng dụng. Trong số này chỉ có khoảng 4.000 ứng dụng là của Baidu.
Các chuyên gia ước tính số ứng dụng bị ảnh hưởng có số người dùng hiện tại là trên 100 triệu.
Theo phân tích, SDK Moplus mở một máy chủ HTTP trên thiết bị nơi các ứng dụng chứa backdoor được cài đặt; máy chủ không sử dụng xác thực và chấp nhận truy vấn từ bất kỳ ai trên Internet.
Nguy hiểm hơn, bằng việc gửi các truy vấn tới máy chủ HTTP ẩn này, tin tặc có thể thực thi các lệnh đặt trước trong SDK. Những lệnh này có thể được sử dụng để trích xuất các thông tin nhạy cảm như dữ liệu vị trí, truy vấn tìm kiếm hay thêm địa chỉ (contact) mới, upload tập tin, thực hiện các cuộc gọi, hiển thị các tin nhắn giả mạo và cài đặt ứng dụng.
Trên các thiết bị đã bị root, SDK cho phép việc âm thầm cài đặt các ứng dụng. Điều này có nghĩa, người dùng sẽ không bị yêu cầu xác nhận khi cài đặt. Trên thực tế, các chuyên gia đã phát hiện mã độc ANDROIDOS_WORMHOLE.HRXA khai thác backdoor này để cài đặt các ứng dụng không mong muốn.
Các chuyên gia cho rằng, theo nhiều khía cạnh thì lỗ hổng Moplus nghiêm trọng hơn lỗ hổng được phát hiện hồi đầu năm trong thư viện Stagefright của Android. Lỗ hổng Stagefright cần điều kiện tin tặc gửi tin nhắn đa phương tiện độc hại đến số điện thoại của người dùng để lừa họ truy cập vào các URL độc hại. Trong khi đó, để khai thác Moplus, tin tặc chỉ đơn giản là scan toàn bộ mạng điện thoại để tìm địa chỉ IP có cổng máy chủ HTTP Moplus cụ thể.
Sau khi được thông báo về vấn đề, Baidu đã đưa ra một phiên bản mới của SDK, trong đó bỏ đi một số câu lệnh. Tuy nhiên, máy chủ HTTP vẫn để mở và một số tính năng trên SDK vẫn có thể bị tin tặc lợi dụng.
Đại diện Baidu cho biết, đoạn code có vấn đề sẽ được gỡ khỏi phiên bản tiếp theo trên các ứng dụng của hãng.
Tuy nhiên, câu hỏi đặt ra là mất bao lâu để các nhà phát triển bên thứ ba sử dụng SDK này cập nhật các ứng dụng của mình lên phiên bản mới nhất? Danh sách 20 ứng dụng bị ảnh hưởng bao gồm cả ứng dụng của các nhà phát triển khác. Một số ứng dụng vẫn đang hiện diện trên Google Play.
Nguồn: ComputerWorld