WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
444 bài viết
Lỗi lập trình khiến hàng ngàn ứng dụng iOS có thể bị hijack
Một lỗi có thể khiến hacker vào cùng một mạng Wi-Fi, ví dụ bằng iPhone, để ghi đè dữ liệu và thưc thi mã trong ứng dụng bị ảnh hưởng.
Hàng ngàn ứng dụng trên iOS dường như đang tồn tại một lỗi lập trình khiến các thiết bị có thể bị hijack.
Nhóm nghiên cứu Jailbreak trên iPhone Pangu cho biết họ đã phát hiện ra lỗi trong khi kiểm tra một số ứng dụng iOS.
Nhóm này đã tìm thấy khoảng 10% các ứng dụng iOS có thể bị ảnh hưởng bởi cùng vấn đề khi thực hiện thử nghiệm trên 169.000 ứng dụng iOS và 16.000 ứng dụng trong số đó dính lỗ hổng.
Pangu đã tạo một trang web về lỗi lập trình gọi là “ZipperDown", tải lên đó một video, mô phỏng vấn đề. Khi người dùng tải một dịch vụ microblogging được gọi là Weibo, họ sẽ bị hack qua một mạng Wi-Fi mở nhằm chiếm quyền thực thi mã từ xa trong ứng dụng.
Để tránh bị khai thác lỗ hổng, nhóm Pangu không tiết lộ chi tiết kỹ thuật, tuy nhiên nhà nghiên cứu an ninh iOS Will Strafach đã được cung cấp chi tiết về lỗi này và cho biết lỗi lập trình là hoàn toàn có thật.
Apple hiện vẫn chưa có bình luận gì về vấn đề này và vẫn chưa rõ liệu Pangu đã thông báo lỗi lập trình đến công ty hoặc các nhà phát triển ứng dụng hay chưa. Apple đã có trên 2 triệu ứng dụng trên Apple Store.
Dù Pangu đang nắm giữ chi tiết kỹ thuật về lỗi lập trình này, các nhà nghiên cứu khác tại Trung Quốc đã có một số bài đăng về ZipperDown liên quan đến tiện ích của bên thứ ba gọi là ZipArchieve, cho phép các ứng dụng đọc và ghi đè các file Zip. Một lỗi mà khi thực hiện có thể cho phép kẻ tấn công khai thác tiện ích và chạy mã độc trên máy tính. Để thực hiện việc này, yêu cầu hacker phải kiểm soát mạng Wi-Fi để có thể tấn công các dịch vụ ứng dụng lưu lượng truy cập và giả mạo.
Pangu đưa ra danh sách các ứng dụng iOS bị ảnh hưởng bao gồm cả Instagram, Pandora, Dropbox và Amazon để các nhà phát triển vá lỗ hổng nhưng các chuyên gia cũng lưu ý các ứng dụng bất kỳ trên danh sách này có thể bị nhận diện sai, dó đó các nhà phát triển nên kiểm tra thủ công.
Các chuyên gia an ninh mạng của Bkav cho biết: Lỗ hổng này khó khai thác do phải qua bước trung gian nắm quyền điều khiển mạng Wi-Fi, tuy nhiên người dùng nên tránh truy cập vào các mạng Wi-Fi công cộng không bảo mật, hoặc mật khẩu để đăng nhập phần cấu hình quản trị Wi-Fi yếu dễ bị khai thác, đồng thời cũng cần cập nhật phiên bản mới cho các ứng dụng đang dùng trên máy.
BQT sẽ tiếp tục cập nhật khi có thông tin chi tiết.
Hàng ngàn ứng dụng trên iOS dường như đang tồn tại một lỗi lập trình khiến các thiết bị có thể bị hijack.
Nhóm này đã tìm thấy khoảng 10% các ứng dụng iOS có thể bị ảnh hưởng bởi cùng vấn đề khi thực hiện thử nghiệm trên 169.000 ứng dụng iOS và 16.000 ứng dụng trong số đó dính lỗ hổng.
Pangu đã tạo một trang web về lỗi lập trình gọi là “ZipperDown", tải lên đó một video, mô phỏng vấn đề. Khi người dùng tải một dịch vụ microblogging được gọi là Weibo, họ sẽ bị hack qua một mạng Wi-Fi mở nhằm chiếm quyền thực thi mã từ xa trong ứng dụng.
Để tránh bị khai thác lỗ hổng, nhóm Pangu không tiết lộ chi tiết kỹ thuật, tuy nhiên nhà nghiên cứu an ninh iOS Will Strafach đã được cung cấp chi tiết về lỗi này và cho biết lỗi lập trình là hoàn toàn có thật.
Apple hiện vẫn chưa có bình luận gì về vấn đề này và vẫn chưa rõ liệu Pangu đã thông báo lỗi lập trình đến công ty hoặc các nhà phát triển ứng dụng hay chưa. Apple đã có trên 2 triệu ứng dụng trên Apple Store.
Dù Pangu đang nắm giữ chi tiết kỹ thuật về lỗi lập trình này, các nhà nghiên cứu khác tại Trung Quốc đã có một số bài đăng về ZipperDown liên quan đến tiện ích của bên thứ ba gọi là ZipArchieve, cho phép các ứng dụng đọc và ghi đè các file Zip. Một lỗi mà khi thực hiện có thể cho phép kẻ tấn công khai thác tiện ích và chạy mã độc trên máy tính. Để thực hiện việc này, yêu cầu hacker phải kiểm soát mạng Wi-Fi để có thể tấn công các dịch vụ ứng dụng lưu lượng truy cập và giả mạo.
Pangu đưa ra danh sách các ứng dụng iOS bị ảnh hưởng bao gồm cả Instagram, Pandora, Dropbox và Amazon để các nhà phát triển vá lỗ hổng nhưng các chuyên gia cũng lưu ý các ứng dụng bất kỳ trên danh sách này có thể bị nhận diện sai, dó đó các nhà phát triển nên kiểm tra thủ công.
Các chuyên gia an ninh mạng của Bkav cho biết: Lỗ hổng này khó khai thác do phải qua bước trung gian nắm quyền điều khiển mạng Wi-Fi, tuy nhiên người dùng nên tránh truy cập vào các mạng Wi-Fi công cộng không bảo mật, hoặc mật khẩu để đăng nhập phần cấu hình quản trị Wi-Fi yếu dễ bị khai thác, đồng thời cũng cần cập nhật phiên bản mới cho các ứng dụng đang dùng trên máy.
BQT sẽ tiếp tục cập nhật khi có thông tin chi tiết.
Theo PCMag