Nếu bị khai thác, lỗ hổng bảo mật cho phép hacker chiếm quyền điều khiển hầu hết mọi ứng dụng và đánh cắp dữ liệu nhạy cảm của nạn nhân. Đây là kết quả theo các nhà nghiên cứu tại Promon, người đã phát hiện ra lỗ hổng bảo mật và đặt tên là StrandHogg 2.0.

Tin tốt là phần mềm độc hại khai thác lỗ hổng này chỉ là phát hiện của nhóm bảo mật chứ nó chưa tồn tại trong thực tế. Quan trọng, Google đã cung cấp một bản vá cho các nhà sản xuất thiết bị Android vào tháng 4 năm 2020, với bản sửa lỗi – dành cho các phiên bản Android 8.0, 8.1 và 9.0 – được tung ra cho công chúng như một phần của bản cập nhật bảo mật hàng tháng mới nhất trong tháng này. Promon đã thông báo cho Google về lỗ hổng này vào đầu tháng 12 năm 2019.

Được lập chỉ mục là CVE-2020-0096 , độ cao của lỗ hổng đặc quyền nằm trong thành phần hệ thống Android và có thể bị lạm dụng thông qua một phương pháp gọi là phản chiếu cho phép các ứng dụng độc hại mạo danh các ứng dụng hợp pháp trong khi nạn nhân không phải là người khôn ngoan hơn.

Do đó, một khi ứng dụng độc hại được tải xuống và cài đặt trên thiết bị dễ bị tấn công, kẻ tấn công có thể đánh cắp thông tin truy cập của nạn nhân, ghi lại các cuộc hội thoại, theo dõi chuyển động của họ thông qua GPS hoặc truy cập dữ liệu được lưu trữ như ảnh hoặc tin nhắn.

Giả sử một ứng dụng độc hại lẻn vào thiết bị của bạn và bạn nhấp vào một ứng dụng hợp pháp yêu cầu thông tin đăng nhập của bạn. Tuy nhiên, thay vì thông tin được gửi cho ứng dụng đó, lớp phủ đánh cắp dữ liệu được hiển thị. Bạn tiếp tục nhập thông tin đăng nhập của mình và những thông tin đó ngay lập tức được chuyển cho hacker, người hiện có quyền kiểm soát ứng dụng này.

Đó không chỉ là thông tin có nguy cơ – ứng dụng có thể chiếm quyền điều khiển đang được cấp cho ứng dụng, đặc biệt là quyền truy cập vào GPS, micrô hoặc máy ảnh. Hầu hết các ứng dụng dễ bị tấn công theo mặc định.

Nhóm nghiên cứu đã chỉ ra rằng so với StrandHogg thì lỗ hổng mới được tiết lộ này khó phát hiện hơn nhiều do thực thi dựa trên mã của nó. Ngoài ra, nó cũng có thể tấn công linh hoạt gần như bất kỳ ứng dụng nào trên một thiết bị nhất định chỉ bằng một nút bấm, trong khi đó, StrandHogg chỉ có thể tấn công từng ứng dụng một.

Promon đưa ra giả thuyết rằng hacker “mũ đen” có thể sẽ khai thác đồng thời cả hai lỗ hổng vì chúng có thể tấn công các thiết bị theo nhiều cách khác nhau, đồng thời, nhiều biện pháp được sử dụng để giảm thiểu một lỗ hổng không thể áp dụng cho lỗ hổng kia.

Để bảo vệ bản thân trước StrandHogg 2.0, bạn nên cập nhật thiết bị Android của mình lên phiên bản HĐH mới nhất hiện có. Nói chung, điều quan trọng là phải có một giải pháp bảo mật di động có uy tín và rất thận trọng khi cài đặt các ứng dụng từ bên ngoài Google Play.

Theo ESET

Nếu bạn đã theo dõi quá trình phát triển các phiên bản jailbreak thì bạn có thể biết rằng checkra1n đã được thực hiện nhờ khai thác dựa trên phần cứng có tên là checkm8. Ngược lại, lần lặp mới nhất của unc0ver hiện có sẵn được thực hiện từ một loạt các khai thác tfp0 dựa trên phần mềm.

Bản chất của công cụ dựa trên khai thác phần cứng checkm8 là nó không thể được vá bởi Apple, do đó cho phép nhóm checkra1n phát hành mọi phiên bản jailbreak iOS tương lai được phát hành cho phần cứng mà phần mềm khai thác bootrom hỗ trợ. Trong khi đó các khai thác tfp0 có thể sẽ được Apple vá rất sớm, có nghĩa là sẽ cần nhiều khai thác hơn trong các phiên bản jailbreak iOS trong tương lai để cung cấp hỗ trợ jailbreak cho các bản phát hành mới đối với công cụ như unc0ver.

Semi-Tethered/Semi-Untethered:

Với checkra1n, người dùng sẽ có khái niệm semi-tethered khi dùng thiết bị này. Mỗi khi khởi động lại máy, người dùng sẽ mất jailbreak và để có thể đưa máy về trạng thái jailbreak trở lại, bạn sẽ cần đến một chiếc máy tính để kết nối với điện thoại và chạy phần mềm trên máy tính.

Với unc0ver, do bản chất là một phần mềm chạy trên iOS, nên bạn sẽ có khái niệm semi-untethered. Nghĩa là khởi động lại máy vẫn mất jailbreak, tuy nhiên bạn chỉ cần chạy lại ứng dụng unc0ver trên máy để jailbreak lại. Tiện hơn!

Khả năng tương thích:

Checkra1n là bản jailbreak dựa trên phần cứng và unc0ver là bản dựa trên phần mềm. Vâng, điều đó thực sự quan trọng. Nói một cách thẳng thắn, checkra1n chỉ có thể jailbreak các thiết bị dính lỗi khai thác checkm8. Điều đó có nghĩa là nó có thể jailbnreak các thiết bị từ iPhone 5 cho đến iPhone X nhưng nó không thể jailbreak các thiết bị mới hơn như iPhone XS hoặc iPhone 11 series.

Vì unc0ver dựa trên phần mềm và khai thác lỗ hổng trong iOS 13.5 chứ không phải ở cấp độ phần cứng, nên nó có thể jailbreak bất kỳ thiết bị nào chạy iOS 13.5 trở xuống. Đối với những người có iPhone hoặc iPad mới hơn sau năm 2017, unc0ver sẽ là lựa chọn duy nhất.

Điểm hay là cả checkra1n và unc0ver đều cung cấp cơ chế hoàn nguyên để bạn có thể xoá jailbreak hoàn toàn mà không gặp vấn đề gì.

Nếu bạn chưa jailbreak, hãy xem bài hướng dẫn jailbreak iOS 13.5. Nếu không biết jailbreak xong nên cài tweak gì? Hãy tham khảo danh sách tweak tương thích iOS 13.5.

Theo Redmond Pie

Với những lỗ hổng zero-day này, Ryan Pickren có thể xây dựng một hệ thống tấn công cướp quyền điều khiển máy ảnh iPhone của người dùng. Lỗ hổng này tồn tại trên các ứng dụng chụp ảnh của cả nền tảng iOS và macOS.

Bảy lỗ hổng này được Ryan Pickren bắt đầu thu thập từ tháng 12.2019, khi anh bắt đầu phân tích các lỗ hổng của trình duyệt Safari (trình duyệt mặt định trên iOS và Android). Ba trong số bảy lỗi này có liên quan đến tính năng chụp ảnh (camera API) của hệ thống. Để khai thác lỗ hổng, Pockren chỉ cần tạo một trang web độc hại và “câu” người dùng truy cập. Chỉ cần người dùng bấm vào một đường link, hệ thống camera và microphone trên iPhone hay MacBook có thể âm thầm được kích hoạt và tự động ghi lại hình ảnh, âm thanh hoặc dữ liệu màn hình và chuyển nội dung này tới kẻ xấu mà người dùng không hay biết.

Hiện tại Apple đã xác nhận sự tồn tại của cả bảy lỗi và chúng đã được vá lần lượt trong các bản cập nhật Safari 13.0.5 (được phát hành vào ngày 28/1/2020) và Safari 13.1 (được phát hành ngày 24/3/2020).

Những phát hiện của Ryan Pickren đã giúp ông thu về 75.000 USD từ chương trình săn lỗi nhận thưởng của Apple. Chương trình Bounty Security của Apple có thể trả tới 1,5 triệu USD cho các lỗ hổng bảo mật nghiêm trọng nhất.

Cuộc tấn công dựa trên lỗ hổng được tìm thấy vào năm 2018 trong driver Gigabyte có mã chi tiết là CVE-2018-19320. Driver này đã bị Gigabyte ngừng hỗ trợ, cho phép các tác nhân độc hại có thể khai thác lỗi và truy xuất được và hệ thống máy tính, triển khai một driver thứ hai với mục đích vô hiệu hoá tất cả trình diệt virus hay bảo mật trên máy.

Các ransomware được sử dụng này được gọi tên là RobbinHood và nó yêu cầu các nạn nhân phải trả tiền chuộc để mở khoá các file. Nếu họ không trả tiền chuộc sớm, số tiền chuộc sẽ được tăng lên 10.000USD mỗi ngày.

Tập tin thực thi này khai thác driver gigabyte trên file gdrv.sys có tên là Steel.exe, và nó sẽ giải nén một file có tên là ROBNR.EXE nằm trong thư mục C:\WINDOWS\TEMP, nó sẽ tiếp tục giải nén hai driver khác nhau, một driver được phát triển bở Gigabyte (driver có dính lỗi bảo mật) và một driver khác có thể vô hiệu hoá các trình antivirus. Do lỗ hổng được khai thác nên driver khai thác lỗi này sẽ không bị kiểm định chữ ký (một giao thức bảo mật của Windows).

Sophos cho biết hiện tại vẫn không có thông tin cụ thể nào giúp bạn có thể tránh các ransomware dạng này. Do đó bạn cần hết sức cẩn thận khi tải các trình driver trên mạng hay các file cài đặt có nguồn gốc không rõ ràng.

Hãy tưởng tượng một ứng dụng tạo file GIF đơn giản dành cho Android có sẵn trên Google Play, tự động tính phí người dùng là 214,99EUR (​​253USD) để tiếp tục sử dụng ứng dụng này sau thời gian dùng thử ba ngày. Hoặc một ứng dụng đọc mã QR hoàn toàn chẳng có chức năng gì đáng kể “được” nhà phát triển tính phí 104,99EUR để tiếp tục sử dụng 72 giờ sau khi được tải xuống. Đây chính là các fleeceware.

Các nhà nghiên cứu tại SophosLabs đã phát hiện ra ít nhất 15 ứng dụng đã được tải xuống hàng triệu lần với các mức thu phí khủng khiếp kể trên. Nghiêm trọng hơn, bằng cách khai thác lỗ hổng trong chế độ cấp phép cửa hàng Play, hành vi này dường như là hợp pháp.

Hành vi “lừa đảo hợp pháp” này khai thác hành vi sử dụng ứng dụng cho phép người dùng tải xuống ứng dụng theo thời hạn giấy phép dùng thử, trong trường hợp này, kết thúc sau vài ngày. Rõ ràng hành vi này là hợp pháp, người dùng tự tìm ứng dụng và tải về, ứng dụng cũng cung cấp tính năng như giới thiệu (ví dụ: đọc QR-code). Điều quan trọng, các ứng dụng yêu cầu người dùng nhập thông tin thanh toán của họ trong thời gian dùng thử (dĩ nhiên chưa bị trừ tiền), điều mà hầu hết người dùng có thể cho rằng sẽ không ảnh hưởng nếu họ gỡ cài đặt ứng dụng.

Và có thể người dùng không tưởng tượng được một mức tính phí rất lớn mà các ứng dụng fleeceware này lạm dụng nên họ mất một số tiền khá lớn. Các nhà nghiên cứu của SophosLabs đã phát hiện ra ba ứng dụng tính phí 219,99EUR cho quyền truy cập đầy đủ tính năng ứng dụng, năm ứng dụng khác tính phí 104,99EUR và một ứng dụng tính phí 114,99EUR. Và bất ngờ chưa, một trong những ứng dụng ‘phần mềm’ này có hơn 10 triệu lượt tải xuống, hai ứng dụng có 5 triệu, phần còn lại từ 5.000 đến 50.000 lượt tải.

Bạn đừng nghĩ là dễ dàng để lấy lại tiền bạn đã thanh toán bằng cách sử dụng các tính năng moneyback vì rõ ràng “hành vi” của ứng dụng là hợp pháp. Lỗi là ở bạn!

Nhà phân tích phần mềm độc hại SophosLabs, Jagadeesh Chandraiah, cho biết: “Chúng tôi chưa từng thấy các ứng dụng được bán ở mức giá này trước đây”. Rõ ràng đây là hành vi lừa đảo. Nhưng Google dường như không nhận thấy vấn đề gì cho đến khi các nhà nghiên cứu báo cáo danh sách các ứng dụng này như trường hợp 25 ứng dụng “mã độc” được báo cáo gần đây.

Vì bản thân các ứng dụng không tham gia vào bất kỳ “hoạt động độc hại” truyền thống nào, nên về cơ bản chúng vẫn tuân theo các quy tắc của Google và hãng không dễ dàng loại bỏ chúng khỏi Play Market.

Dù gì đi nữa, vấn đề lớn vẫn nằm ở bạn. Hãy luôn cẩn thận với những hành vi này. Và bạn lưu ý là nghiên cứu này dành cho Android, nhưng iOS cũng có những vẫn đề tương tự.

Theo Sophos