Lỗ hổng nằm ở cơ chế cập nhật cho phiên bản được Samsung tùy biến của phần mềm SwiftKey, có trong Samsung Galaxy S6, S5 và nhiều bản Galaxy khác. Khi tải xuống bản cập nhật, các loại điện thoại Samsung trên không mã hóa tệp thi hành, vì thế tin tặc kiểm soát kết nối – giống như trong các mạng Wifi mở, để thay thế tệp gốc bằng tệp có kèm mã độc. Cách tấn công này đã được trình diễn tại hội thảo Blackhat ở London.
Các dòng điện thoại được cài sẵn phần mềm Samsung Input Method Editor keyboard (tên gọi mà Samsung đặt cho phiên bản SwiftKey do họ tùy biến) định kỳ truy vấn một máy chủ chính hãng để kiểm tra xem có bản cập nhật của phần mềm hay các gói ngôn ngữ kèm theo không. Tin tặc ở vị trí người trung gian có thể giả mạo máy chủ và gửi lại một gói cập nhật với mã độc nhúng trong một gói ngôn ngữ. Do các điện thoại Samsung cấp các quyền bổ sung để thực hiện việc cập nhật, mã độc có thể qua mặt cơ chế bảo vệ củahệ điều hành Android áp đặt trên các phần mềm thứ ba.
Điều khá ngạc nhiên là các tệp Zip được gửi trong quá trình cập nhật phần mềm bàn phím không được bảo vệ bằng giao thức TLS. Những người thiết kế hệ thống yêu cầu nội dung của tệp đó phải khớp với một tệp manifest đã gửi tới điện thoại từ trước, tuy nhiên điều này không đem lại tác dụng bảo mật nào. Để qua mặt biện pháp kiểm tra này, Welton gửi vào điện thoại một tệp manifest giả có chứa giá trị băm SHA1 của tệp cập nhật chứa mã độc.
Welton cho biết, lỗ hổng tồn tại ngay cả khi Samsung IME keyboard không được dùng tới. Tin tặc có thể tấn công ngay cả khi không có gói cập nhật chính thức nào cho phần mềm bàn phím. Mặc dù SwiftKey có thể được dùng trên tất cả các dòng điện thoại Android, nhưng điều đó không có nghĩa là chúng có lỗ hổng bảo mật như các điện thoại Samsung Galaxy. Lý do rất đơn giản: các gói cập nhật cho phần mềm SwiftKey trong các trường hợp đó được xử lý qua cơ chế cập nhật thông thường của Google Play.
Cho đến nay, chủ nhân của những chiếc điện thoại có lỗ hổng bảo mật này không có cách gì ngăn ngừa các cuộc tấn công ngoài việc tránh xa các mạng Wifikhông an toàn. Kể cả trong trường hợp đó, họ vẫn có thể bị tấn công thông quacác thủ thuật DNS hijacking, chèn gói tin (packet injection) hoặc các kỹ thuật tương tự cho phép giả máy chủ cập nhật. Cũng không có cách nào để gỡ bỏ Samsung IME keyboard, kể cả khi chủ nhân của những chiếc Galaxy dùng một phần mềm bàn phím khác – đây là điều rất đáng chú ý vì nhiều người vẫn “ngây thơ” cho rằng lỗ hổng này không liên quan đến họ.
Welton cho biết ông đã kiểm tra và xác nhận rằng lỗ hổng với Samsung IME keyboard tồn tại trên Samsung Galaxy S6 của các mạng Verizon và Sprint, Galaxy S5 của mạng T-Mobile, Galaxy S4 Mini của mạng AT&T. Welton đã gửi báo cáo về lỗ hổng cho Samsung, Google và US CERT (tổ chức này đã đánh mã CVE-2015-2865).
Trong một thông báo gửi qua thư điện tử, SwiftKey viết rằng: "Chúng tôi đã nhận được các báo cáo về một vấn đề an ninh liên quan đến bàn phím cài sẵn của Samsung – phần mềm sử dụng SwiftKey SDK. Chúng tôi có thể xác nhận rằng SwiftKey Keyboard app trên Google Play hay Apple App Store không bị ảnh hưởng bởi lỗ hổng này. Chúng tôi xem xét các báo cáo một cách rất nghiêm túc và đang điều tra kỹ hơn".
Samsung đã biết về lỗ hổng này từ cuối năm 2014 và đã cung cấp một bản vá cho các nhà mạng từ tháng 3/2015 (nhưng không rõ liệu đã có nhà mạng lớn nào áp dụng bản vá đó hay chưa).
Tài liệu tham khảo:
(https://www.blackhat.com/ldn-15/summit.html#abusing-android-apps-and-gaining-remote-code-execution). Đoạn video trình diễn cũng đã được đưa lên YouTube (https://www.youtube.com/watch?v=uvvejToiWrY).
|