Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Phát hiện backdoor trong thư viện quảng cáo của hàng nghìn ứng dụng iOS
Các chuyên gia vừa phát hiện backdoor trong thư viện quảng cáo phổ biến của hàng nghìn ứng dụng iOS, bao gồm cả các ứng dụng có trên kho Apple App Store.
Theo các chuyên gia, thư viện mở một backdoor trên thiết bị chạy ứng dụng iOS bị ảnh hưởng, cho phép tin tặc truy cập vào dữ liệu nhạy cảm và các tính năng trên thiết bị. Từ đó, tin tặc có thể kiểm soát backdoor từ xa bằng cách tải lên các đoạn mã JavaScript từ một máy chủ.
Thư viện được nhắc đến là một phiên bản của bộ công cụ phát triển ứng dụng (SDK) mobiSage của adSage - công ty Trung Quốc chuyên cung cấp công nghệ và dịch vụ quảng cáo có trụ sở tại mỹ. Trên trang chủ của công ty này, mobiSage được giới thiệu là mạng quảng cáo có ảnh hưởng nhất tại Trung quốc, chiếm gần 90% người dùng di động tại quốc gia này. mobiSage được xây dựng nhằm hiển thị quảng cáo trên các ứng dụng.
Các chuyên gia đã tìm thấy backdoor trong các phiên bản từ 5.3.3 đến 6.4.4 của thư viện quảng cáo. Tuy nhiên, phiên bản mới nhất 7.0.5 không bị ảnh hưởng. Theo thống kê, có khoảng 17 phiên bản khác nhau của thư viện chứa backdoor và được gọi chung là “iBackDoor”.
Trong tổng số 2.846 ứng dụng iOS, các chuyên gia đã phát hiện hơn 900 trong số đó gửi kết nối tới một máy chủ quảng cáo có thể được dùng để phát tán các đoạn mã JavaScript quan trọng giúp kiểm soát các backdoor.
Hiện tại chưa phát hiện hành vi độc hại nào của máy chủ quảng cáo, tuy nhiên, các backdoor này có thể bị lợi dụng để thực hiện một loạt các hành vi như: ghi âm, chụp ảnh màn hình, tác động vào các tập tin trong cơ sở dữ liệu ứng dụng, theo dõi vị trí thiết bị, đọc, viết hay đổi keychain của ứng dụng, tải dữ liệu mã hóa đến máy chủ, âm thầm tải các ứng dụng bằng cách giả dạng nạn nhân, click vào nút cài đặt và mở một số ứng dụng đang hiện diện trên thiết bị.
Nguyên nhân vấn đề đến từ hai thành phần chính của thư viện mobiSage là msageCore (objective-C thực hiện các chức năng cơ bản của backdoor) và msage (JavaScript kích hoạt các backdoor sử dụng giao diện mà msageCore cung cấp thông qua WebView).
Đây không phải là lần đầu tiên một bộ công cụ phát triển của Trung quốc mang tới các nguy cơ cho người dùng. Tuy nhiên các vấn đề trước đây đa phần ảnh hưởng đến các thiết bị chạy Android
Tháng trước, các chuyên gia cũng cảnh báo hơn 18.000 ứng dụng Android đánh cắp tin nhắn SMS từ thiết bị của người dùng. Tất cả các ứng dụng bị ảnh hưởng đều được phát triển trên nền tảng quảng cáo taomike của Trung Quốc.
Vụ việc gần đây, SDK Moplus của Baidu (Trung Quốc) cũng bị phát hiện chứa backdoor.
Nguồn: SecurityWeek
Theo các chuyên gia, thư viện mở một backdoor trên thiết bị chạy ứng dụng iOS bị ảnh hưởng, cho phép tin tặc truy cập vào dữ liệu nhạy cảm và các tính năng trên thiết bị. Từ đó, tin tặc có thể kiểm soát backdoor từ xa bằng cách tải lên các đoạn mã JavaScript từ một máy chủ.
Thư viện được nhắc đến là một phiên bản của bộ công cụ phát triển ứng dụng (SDK) mobiSage của adSage - công ty Trung Quốc chuyên cung cấp công nghệ và dịch vụ quảng cáo có trụ sở tại mỹ. Trên trang chủ của công ty này, mobiSage được giới thiệu là mạng quảng cáo có ảnh hưởng nhất tại Trung quốc, chiếm gần 90% người dùng di động tại quốc gia này. mobiSage được xây dựng nhằm hiển thị quảng cáo trên các ứng dụng.
Các chuyên gia đã tìm thấy backdoor trong các phiên bản từ 5.3.3 đến 6.4.4 của thư viện quảng cáo. Tuy nhiên, phiên bản mới nhất 7.0.5 không bị ảnh hưởng. Theo thống kê, có khoảng 17 phiên bản khác nhau của thư viện chứa backdoor và được gọi chung là “iBackDoor”.
Trong tổng số 2.846 ứng dụng iOS, các chuyên gia đã phát hiện hơn 900 trong số đó gửi kết nối tới một máy chủ quảng cáo có thể được dùng để phát tán các đoạn mã JavaScript quan trọng giúp kiểm soát các backdoor.
Hiện tại chưa phát hiện hành vi độc hại nào của máy chủ quảng cáo, tuy nhiên, các backdoor này có thể bị lợi dụng để thực hiện một loạt các hành vi như: ghi âm, chụp ảnh màn hình, tác động vào các tập tin trong cơ sở dữ liệu ứng dụng, theo dõi vị trí thiết bị, đọc, viết hay đổi keychain của ứng dụng, tải dữ liệu mã hóa đến máy chủ, âm thầm tải các ứng dụng bằng cách giả dạng nạn nhân, click vào nút cài đặt và mở một số ứng dụng đang hiện diện trên thiết bị.
Nguyên nhân vấn đề đến từ hai thành phần chính của thư viện mobiSage là msageCore (objective-C thực hiện các chức năng cơ bản của backdoor) và msage (JavaScript kích hoạt các backdoor sử dụng giao diện mà msageCore cung cấp thông qua WebView).
Đây không phải là lần đầu tiên một bộ công cụ phát triển của Trung quốc mang tới các nguy cơ cho người dùng. Tuy nhiên các vấn đề trước đây đa phần ảnh hưởng đến các thiết bị chạy Android
Tháng trước, các chuyên gia cũng cảnh báo hơn 18.000 ứng dụng Android đánh cắp tin nhắn SMS từ thiết bị của người dùng. Tất cả các ứng dụng bị ảnh hưởng đều được phát triển trên nền tảng quảng cáo taomike của Trung Quốc.
Vụ việc gần đây, SDK Moplus của Baidu (Trung Quốc) cũng bị phát hiện chứa backdoor.
Nguồn: SecurityWeek