WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Lỗi trình duyệt ảnh hưởng tới một nửa người dùng Android
Một lỗ hổng được thông báo tới đơn vị phát triển hôm 1/9 có vẻ sẽ tác động nghiêm trọng tới người dùng Android. Lỗ hổng nằm trên Android Browser, trình duyệt mã nguồn mở được xây dựng trên nền tảng WebKit và từng được sử dụng như một phần của AOSP (Android Open Source Platform - Nền tảng mã nguồn mở Android).
Cụ thể, Android Browser tồn tại lỗ hổng cho phép các trang độc hại chèn JavaScript vào các trang web khác. Những JavaScript độc này có thể đọc các tập tin cookie, mật khẩu, các trường gửi thông tin, ghi lại thao tác bàn phím, hoặc làm bất cứ hoạt động nào khác.
Các trình duyệt thường được thiết kế để chặn script từ site này truy cập thông tin trên một site khác. Việc này được đảm bảo bằng chính sách “Chung nguồn gốc” (SOP - Same Policy Origin). Khi đó, các script chỉ có thể đọc hoặc sửa đổi tài nguyên (chẳng hạn các phần tử của một website) có cùng nguồn gốc. Nguồn gốc được xác định dựa trên giao thức (tiêu biểu là HTTP hoặc HTTPS) tên miền và cổng.
Có thể ví dụ, SOP giúp ngăn chặn một script được tải từ http: //malware.bad/ truy cập nội dung trên trang https://paypal.com/.
Lỗi trên Android Browser phá vỡ việc xử lý SOP của trình duyệt. Như Rafay Baloch, nhà nghiên cứu đã tìm ra lỗi này cho biết, một JavaScript được xây dựng đặc biệt có thể vượt qua SOP và tự do can thiệp không hạn chế tới nội dung các trang web khác.
Điều này có nghĩa bất kì trang nào truy cập bằng trình duyệt bị lỗi đều có thể bị đánh cắp thông tin nhạy cảm. Có thể nói, đây là lỗ hổng rất cần được nhanh chóng khắc phục.
Với nỗ lực để có thể kiểm soát nhiều hơn trên Android, Google đã dừng sử dụng trình duyệt AOSP. Android Browser trước đây là trình duyệt mặc định, nhưng từ Android 4.2 trở đi đã được thay thế bằng Chrome. Phần lõi của Android Browser vẫn được sử dụng để quản lý việc xem web trong các ứng dụng, tuy nhiên từ Android 4.4, điều này cũng đã hoàn toàn thay đổi khi Google chuyển sang sử dụng engine của trình duyệt Chromium.
Android Browser có thể được nhúng vào trong các sản phẩm của bên thứ ba, và thậm chí được cài đặt trên một số thiết bị Android 4.4, bởi vì một lý do nào đó có những người dùng thích trình duyệt này hơn Chrome.
Theo Google, chỉ 24,5% người dùng Android sử dụng phiên bản 4.4. Phần lớn người dùng Android sử dụng các phiên bản có sử dụng thành phần có lỗ hổng, rất nhiều trong số họ đang dùng phiên bản 4.1.x hoặc cũ hơn.
Baloch đã báo lỗi tới Google, tuy nhiên phía công ty trả lời hãng không mô phỏng khai thác lỗ hổng và quyết định kết thúc xử lý. Baloch sau đó đã đăng tải thông tin lên blog của mình và lỗ hổng sau đó được ví như một “thảm họa bảo mật”. Ngay sau đó Google đã thay đổi thái độ, thừa nhận hãng có thể mô phỏng lại lỗ hổng và cho biết đang tiến hành khắc phục.
Tuy nhiên, việc làm thế nào bản vá được đưa ra sẽ thực sự có tác dụng lại chưa rõ ràng. Trong khi trình duyệt Chrome được cập nhật thông qua Play Store thì AOSP Browser chỉ được cập nhật thông qua việc cập nhật hệ điều hành. Việc đưa các bản cập nhật đến với người dùng vốn là vấn đề của hệ điều hành Android, do đó, ngay cả khi Google kịp đưa ra bản vá thì có thể nó cũng không đến được với những người dùng thực sự cần.
Người sử dụng Android 4.0 trở lên có thể phòng tránh bằng cách chuyển sang Chrome, Firefox hoặc Opera, những trình duyệt không sử dụng mã bị lỗi. Trình duyệt cho Android của bên thứ ba có thể nhúng các mã AOSP bị lỗi, và thật không may cho người dùng là vẫn chưa có cách để phát hiện trường những hợp này.
Cụ thể, Android Browser tồn tại lỗ hổng cho phép các trang độc hại chèn JavaScript vào các trang web khác. Những JavaScript độc này có thể đọc các tập tin cookie, mật khẩu, các trường gửi thông tin, ghi lại thao tác bàn phím, hoặc làm bất cứ hoạt động nào khác.
Các trình duyệt thường được thiết kế để chặn script từ site này truy cập thông tin trên một site khác. Việc này được đảm bảo bằng chính sách “Chung nguồn gốc” (SOP - Same Policy Origin). Khi đó, các script chỉ có thể đọc hoặc sửa đổi tài nguyên (chẳng hạn các phần tử của một website) có cùng nguồn gốc. Nguồn gốc được xác định dựa trên giao thức (tiêu biểu là HTTP hoặc HTTPS) tên miền và cổng.
Có thể ví dụ, SOP giúp ngăn chặn một script được tải từ http: //malware.bad/ truy cập nội dung trên trang https://paypal.com/.
Lỗi trên Android Browser phá vỡ việc xử lý SOP của trình duyệt. Như Rafay Baloch, nhà nghiên cứu đã tìm ra lỗi này cho biết, một JavaScript được xây dựng đặc biệt có thể vượt qua SOP và tự do can thiệp không hạn chế tới nội dung các trang web khác.
Điều này có nghĩa bất kì trang nào truy cập bằng trình duyệt bị lỗi đều có thể bị đánh cắp thông tin nhạy cảm. Có thể nói, đây là lỗ hổng rất cần được nhanh chóng khắc phục.
Với nỗ lực để có thể kiểm soát nhiều hơn trên Android, Google đã dừng sử dụng trình duyệt AOSP. Android Browser trước đây là trình duyệt mặc định, nhưng từ Android 4.2 trở đi đã được thay thế bằng Chrome. Phần lõi của Android Browser vẫn được sử dụng để quản lý việc xem web trong các ứng dụng, tuy nhiên từ Android 4.4, điều này cũng đã hoàn toàn thay đổi khi Google chuyển sang sử dụng engine của trình duyệt Chromium.
Android Browser có thể được nhúng vào trong các sản phẩm của bên thứ ba, và thậm chí được cài đặt trên một số thiết bị Android 4.4, bởi vì một lý do nào đó có những người dùng thích trình duyệt này hơn Chrome.
Theo Google, chỉ 24,5% người dùng Android sử dụng phiên bản 4.4. Phần lớn người dùng Android sử dụng các phiên bản có sử dụng thành phần có lỗ hổng, rất nhiều trong số họ đang dùng phiên bản 4.1.x hoặc cũ hơn.
Baloch đã báo lỗi tới Google, tuy nhiên phía công ty trả lời hãng không mô phỏng khai thác lỗ hổng và quyết định kết thúc xử lý. Baloch sau đó đã đăng tải thông tin lên blog của mình và lỗ hổng sau đó được ví như một “thảm họa bảo mật”. Ngay sau đó Google đã thay đổi thái độ, thừa nhận hãng có thể mô phỏng lại lỗ hổng và cho biết đang tiến hành khắc phục.
Tuy nhiên, việc làm thế nào bản vá được đưa ra sẽ thực sự có tác dụng lại chưa rõ ràng. Trong khi trình duyệt Chrome được cập nhật thông qua Play Store thì AOSP Browser chỉ được cập nhật thông qua việc cập nhật hệ điều hành. Việc đưa các bản cập nhật đến với người dùng vốn là vấn đề của hệ điều hành Android, do đó, ngay cả khi Google kịp đưa ra bản vá thì có thể nó cũng không đến được với những người dùng thực sự cần.
Người sử dụng Android 4.0 trở lên có thể phòng tránh bằng cách chuyển sang Chrome, Firefox hoặc Opera, những trình duyệt không sử dụng mã bị lỗi. Trình duyệt cho Android của bên thứ ba có thể nhúng các mã AOSP bị lỗi, và thật không may cho người dùng là vẫn chưa có cách để phát hiện trường những hợp này.
Nguồn: Arstechnica
Chỉnh sửa lần cuối bởi người điều hành: