Loạt lỗ hổng trên điện thoại Samsung khiến người dùng Android bị tấn công từ xa

Lỗ hổng trên điện thoại Samsung

Một nghiên cứu mới đây đã tiết lộ thông tin chi tiết về loạt lỗi bảo mật nghiêm trọng xuất hiện trên “Find My Mobile” – một ứng dụng Android được cài đặt sẵn trên hầu hết các điện thoại Samsung. Được biết những lỗ hổng này có thể cho phép kẻ tấn công từ xa theo dõi vị trí nạn nhân trong thời gian thực, giám sát các cuộc gọi, tin nhắn, và thậm chí xóa các dữ liệu được lưu trữ trên điện thoại. 

Char49, một công ty an ninh mạng có trụ sở tại Bồ Đào Nha, đã tiết lộ những phát hiện này tại hội nghị DEF CON vào tuần trước và chia sẻ thông tin chi tiết với The Hacker News.

“Nếu được thiết lập đúng cách, lỗ hổng này có thể dễ dàng bị khai thác và gây ra những ảnh hưởng nghiêm trọng tới người dùng như: từ chối dịch vụ vĩnh viễn qua khóa điện thoại, mất hoàn toàn dữ liệu khi khôi phục cài đặt gốc (bao gồm thẻ SD), vi phạm nghiêm trọng đến quyền riêng tư người dùng qua IMEI, theo dõi vị trí cũng như truy cập trái phép vào nhật ký cuộc gọi và SMS của họ”, Pedro Umbelino, chuyên gia bảo mật của Char49 cho biết trong một bản phân tích kỹ thuật.

Được biết những lỗi bảo mật này xuất hiện trên các dòng Samsung Galaxy S7, S8, S9 + chưa cập nhật bản vá, và đã được Samsung nhanh chóng khắc phục sau khi bị gắn cờ “lỗ hổng gây ra ảnh hưởng nghiêm trọng”.

Tính năng Find My Mobile (FMM) của Samsung cho phép người dùng có thể thực hiện hàng loạt  thao tác từ xa như xác định vị trí của thiết bị, khóa điện thoại, máy tính bảng, sao lưu các dữ liệu được lưu trữ trên Samsung Cloud, xóa các dữ liệu cục bộ, và ngăn truy cập vào Samsung Pay.

Theo Char49, có khoảng bốn lỗ hổng khác nhau trên FMM có thể đã bị khai thác bởi một ứng dụng độc hại được cài đặt trên thiết bị của nạn nhân. Khi bị khai thác, nó sẽ tạo ra một cuộc tấn công man-in-the-disk để chiếm đoạt thông tin liên lạc từ các máy chủ phụ trợ và theo dõi ngầm nạn nhân.

Lỗ hổng này bắt nguồn từ thực tế là ứng dụng FMM kiểm tra sự hiện diện của một file cụ thể trên thẻ SD của thiết bị (“/mnt/sdcard/fmm.prop”) để tải một URL (“mg.URL”). Vậy nên, nếu kẻ tấn công lợi dụng một ứng dụng giả mạo để tạo file này và được FMM cho phép thì chúng hoàn toàn có thể chiếm đoạt thông tin liên lạc với máy chủ.

“Bằng cách dẫn MG URL tới một máy chủ do kẻ tấn công kiểm soát và điều khiển đăng ký, kẻ tấn công có thể thu thập được nhiều thông tin chi tiết về người dùng như vị trí tương đối (coarse location) thông qua địa chỉ IP, số IMEI, thương hiệu của thiết bị, API level, các ứng dụng sao lưu và một số thông tin khác, ” Umbelino nói.

Để đạt được điều này, ứng dụng độc hại được cài đặt trên thiết bị sẽ lợi dụng một chuỗi khai thác và sử dụng hai broadcast receiver (máy thu phát sóng) không được bảo vệ khác nhau để chuyển hướng các lệnh được gửi đến máy chủ Samsung từ ứng dụng Find My Mobile đến một máy chủ khác nằm dưới sự kiểm soát của kẻ tấn công, và sau đó cho thực hiện các lệnh độc hại.

Máy chủ độc hại này sau đó sẽ chuyển tiếp các yêu cầu (request) đến máy chủ hợp pháp và truy xuất phản hồi (response) cho ứng dụng. Tuy nhiên, những phản hồi này đã bị kẻ tấn công chèn thêm các lệnh độc hại.

Sau khi tấn công thành công, tin tặc có thể theo dõi vị trí của thiết bị, thu thập dữ liệu cuộc gọi, tin nhắn nhằm mục đích gián điệp, hoặc khóa điện thoại để đòi tiền chuộc, hay xóa tất cả dữ liệu thông qua khôi phục cài đặt gốc.

Lỗ hổng bảo mật này đã cho thấy dù là một ứng dụng được tạo ra nhằm bảo mật dữ liệu cá nhân của người dùng nhưng FMM vẫn phải đối mặt với nguy cơ bị ảnh hưởng bởi một số lỗi bảo mật, dẫn tới việc chống lại chính mục đích ban đầu của nó.

“Ứng dụng FMM không nên tiết lộ công khai các thành phần tùy ý và để những thành phần này ở trạng thái đã xuất,” Umbelino nói. “Còn nếu thực sự cần thiết, chẳng hạn như nếu các gói package khác gọi các thành phần này, thì chúng nên được bảo vệ bằng các quyền hạn thích hợp. Việc kiểm tra code dựa trên các file ở những nơi công cộng, dễ dàng truy cập thì nên bị hạn chế và loại bỏ.”

Theo The Hacker News