Một số ứng dụng Android có lượt cài đặt cao vẫn đang sử dụng phiên bản chưa được vá lỗi của thư viện cập nhật ứng dụng được sử dụng rộng rãi của Google, khiến dữ liệu cá nhân của hàng trăm triệu người dùng điện thoại thông minh có nguy cơ bị hack.
Trong danh sách này có nhiều ứng dụng phổ biến, bao gồm Grindr, Bumble, OkCupid, Cisco Teams, Moovit, Yango Pro, Microsoft Edge, Xrecorder và PowerDirector, vẫn dễ bị tấn công và có thể bị tấn công để lấy cắp dữ liệu nhạy cảm, chẳng hạn như mật khẩu, thông tin tài chính và e-mail.
Lỗi này có mã là CVE-2020-8913, được xếp hạng 8,8 / 10,0 về mức độ nghiêm trọng và ảnh hưởng đến các phiên bản Play Core Library của Android từ bản trước bản 1.7.2.
Mặc dù Google đã sửa lỗ hổng bảo mật vào tháng 3, nhưng phát hiện mới từ Check Point Research cho thấy nhiều nhà phát triển ứng dụng bên thứ ba vẫn chưa tích hợp cập nhật sửa lỗi này vào ứng dụng của họ. “Không giống như các lỗ hổng phía máy chủ, nơi lỗ hổng được vá hoàn toàn sau khi bản vá được áp dụng cho máy chủ, đối với các lỗ hổng phía máy khách, mỗi nhà phát triển cần cập nhật phiên bản mới nhất của thư viện và chèn nó vào ứng dụng”, hãng an ninh mạng cho biết trong một báo cáo.
Play Core Library là một thư viện Android phổ biến cho phép các nhà phát triển quản lý việc phân phối các module tính năng mới một cách hiệu quả, kích hoạt các bản cập nhật trong ứng dụng trong thời gian chạy và tải xuống các gói ngôn ngữ bổ sung.
Lỗi này được công bố lần đầu vào cuối tháng 8 năm ngoái, sự cố cho phép kẻ đe dọa đưa các tệp thực thi độc hại vào bất kỳ ứng dụng nào dựa vào thư viện, do đó cấp cho kẻ tấn công quyền truy cập đầy đủ vào tất cả các tài nguyên của ứng dụng bị xâm phạm.
Lỗ hổng này bắt nguồn từ một bug truyền qua đường dẫn trong thư viện có thể bị khai thác để tải và thực thi mã độc hại (ví dụ: tệp APK) vào một ứng dụng mục tiêu nhằm đánh cắp thông tin đăng nhập, mật khẩu và nhiều thông tin nhạy cảm khác của người dùng được lưu trữ trong nó.
Hậu quả của việc khai thác thành công lỗ hổng này là rất lớn. Nó có thể được sử dụng để “đưa mã vào các ứng dụng ngân hàng để lấy thông tin đăng nhập và đồng thời có quyền SMS để lấy cắp mã xác thực hai yếu tố (2FA)”, lấy tin nhắn từ các ứng dụng trò chuyện, theo dõi vị trí của người dùng và thậm chí giành quyền truy cập vào các tài nguyên của công ty bằng cách giả mạo các ứng dụng của doanh nghiệp.
Sau khi công ty an ninh mạng tiết lộ một cách có trách nhiệm những phát hiện của họ, Viber, Meetup và Booking.com đã cập nhật ứng dụng của họ lên phiên bản được vá.
“Chúng tôi ước tính rằng hàng trăm triệu người dùng Android đang gặp rủi ro về bảo mật”, Giám đốc Nghiên cứu Di động của Check Point, Aviran Hazum, cho biết. “Mặc dù Google đã triển khai bản vá, nhiều ứng dụng vẫn đang sử dụng thư viện Play Core lỗi thời. Lỗ hổng CVE-2020-8913 rất nguy hiểm.”
Hiện tại sau bài viết này, Cisco, Grindr và Moovit đã cập nhật các ứng dụng tương ứng của họ để giải quyết vấn đề.
Theo The Hacker News