Lỗ hổng 0-day mới ảnh hưởng đến hầu hết các dòng điện thoại Android

Lỗ hổng Android

Mới đây, các nhà nghiên cứu lại có phát hiện mới về một lỗ hổng zero-day nghiêm trọng vẫn chưa được vá. Lần này là lỗ hổng nằm trong hệ điều hành điện thoại di động được sử dụng nhiều nhất trên thế giới – Android.

Đặc biệt hơn, lỗ hổng hiện đang bị khai thác trên diện rộng bởi một nhóm hacker khét tiếng của Israel – vốn nổi tiếng với những phi vụ khai thác zero-day để bán cho các Chính phủ hoặc các nhóm khách hàng nhằm giành quyền kiểm soát các thiết bị Android được nhắm tới.

Được phát hiện bởi nhà nghiên cứu Maddie Stone của Project Zero, mới đây các chi tiết và khai thác PoC về lỗ hổng bảo mật nghiêm trọng mang số hiệu CVE-2019-2215 đã được công bố chỉ 7 ngày sau khi thông tin về lỗ hổng được báo cáo cho Nhóm bảo mật Android.

Lỗ hổng zero-day lần này là một lỗ hổng use-after-free nằm trong trình điều khiển liên lạc (binder driver) của nhân Android, có thể cho phép kẻ tấn công có đặc quyền cục bộ hoặc một ứng dụng thực hiện leo thang các đặc quyền. Mục tiêu là nhằm đạt được quyền truy cập root vào thiết bị chứa lỗ hổng và từ đó kiểm soát hoàn toàn thiết bị từ xa.

>> Nguyễn Hữu Trung – chuyên gia bảo mật tìm thấy lỗ hổng nghiêm trọng trong thiết bị lưu trữ của D-link

Các thiết bị Android chứa lỗ hổng

Lỗ hổng này nằm trong các phiên bản nhân (kernel) Android được phát hành trước tháng 4 năm 2018. Một bản vá đã từng được bao gồm trong nhân 4.14 LTS Linux được phát hành vào tháng 12 năm 2017 nhưng chỉ được tích hợp trong các phiên bản nhân AOSP Android 3.18, 4.4 và 4.9.

Do đó, hầu hết các thiết bị Android được sản xuất và bán bởi đa số các nhà cung cấp hiện nay vẫn bao gồm nhân chứa lỗ hổng, ngay cả khi có các bản cập nhật Android mới nhất. Các dòng điện thoại thông minh phổ biến chứa lỗ hổng được liệt kê dưới đây:

  • Pixel 1
  • Pixel 1 XL
  • Pixel 2
  • Pixel 2 XL
  • Huawei P20
  • Xiaomi Redmi 5A
  • Xiaomi Redmi Note 5
  • Xiaomi A1
  • Oppo A3
  • Moto Z3
  • Điện thoại Oreo LG
  • Samsung S7
  • Samsung S8
  • Samsung S9

Cần lưu ý, các thiết bị Pixel 3, 3 XL và 3a chạy nhân Android mới nhất không bị ảnh hưởng bởi lỗ hổng này.

Lỗ hổng Android có thể bị khai thác từ xa

Theo nhà nghiên cứu, do vấn đề “có thể truy cập từ bên trong Chrome Sandbox”, lỗ hổng zero-day trong nhân của Android cũng có thể được khai thác từ xa bằng cách kết hợp nó với một lỗ hổng “rendering” riêng lẻ của Chrome.

Trong một bài đăng trên blog Chromium, Stone cho biết lỗi này là một lỗ hổng leo thang đặc quyền cục bộ cho phép xâm nhập hoàn toàn thiết bị chứa lỗ hổng. Nếu khai thác được phân phối qua Web, nó chỉ cần được ghép nối với khai thác “rendering”, vì lỗ hổng này có thể truy cập được thông qua sandbox.

Nhà nghiên cứu cũng đã đính kèm một bằng chứng khai thác cục bộ để chứng minh làm thế nào lỗi này có thể được sử dụng để có thể đọc / ghi trên nhân tùy ý khi chạy cục bộ. Nó chỉ yêu cầu thực thi mã ứng dụng không đáng tin cậy để khai thác CVE-2019-2215. Stone đồng thời cũng đính kèm ảnh chụp màn hình (success.png) của POC chạy trên Pixel 2, chạy Android 10 với mức vá bảo mật tháng 9 năm 2019.

Các bản vá sẽ được phát hành sớm

Mặc dù Google sẽ phát hành bản vá cho lỗ hổng này trong Bản tin bảo mật Android tháng 10 của mình trong một vài ngày tới. Tuy nhiên, Google cũng thông báo rằng hầu hết các thiết bị bị ảnh hưởng sẽ không nhận được bản vá ngay lập tức, không giống như Google Pixel 1 và 2.

Nhóm bảo mật Android cho biết vấn đề này được đánh giá là có mức độ nghiêm trọng cao trên Android và bản thân nó yêu cầu cài đặt một ứng dụng độc hại để có thể hoàn thiện quy trình khai thác. Bất kỳ vectơ nào khác, chẳng hạn như thông qua trình duyệt web, đều yêu cầu phải tiến hành khai thác kết hợp.

Đại diện Android khẳng định đã thông báo cho các đối tác của mình và bản vá sẽ có sẵn trên Android Common Kernel. Các thiết bị Pixel 3 và 3a không bị ảnh hưởng trong khi các thiết bị Pixel 1 và 2 sẽ nhận được bản cập nhật cho vấn đề này như là một phần của bản cập nhật tháng 10.

Nhóm Project Zero của Google

Nhóm Project Zero của Google thường cung cấp cho các nhà phát triển phần mềm thời hạn 90 ngày để khắc phục sự cố trong các sản phẩm bị ảnh hưởng của họ trước khi công khai các chi tiết và khai thác PoC, nhưng trong trường hợp khai thác tích cực, nhóm sẽ công khai sau bảy ngày được báo cáo riêng.

Mặc dù lỗ hổng này được đánh giá là nghiêm trọng và có thể được sử dụng để có quyền truy cập root vào thiết bị Android, nhưng người dùng không cần phải lo lắng nhiều vì việc khai thác các vấn đề như vậy chủ yếu giới hạn trong các kịch bản tấn công được nhắm mục tiêu.

Tuy nhiên, tốt hơn hết là người dùng nên tuyệt đối tránh tải xuống và cài đặt các ứng dụng từ các cửa hàng ứng dụng của bên thứ ba, cũng như hạn chế tải về các ứng dụng không cần thiết, kể cả từ Google Play Store.

THN