Phát hiện hơn 12.000 ứng dụng Android có chứa "cửa hậu" ẩn

Các nhà nghiên cứu đã phát hiện hành vi giống như "cửa hậu" ẩn trong 6.800 ứng dụng Play Store, 1.000 ứng dụng từ cửa hàng ứng dụng của bên thứ ba và gần 4.800 ứng dụng được cài đặt sẵn trên thiết bị người dùng.
09:50 AM 05/04/2020 In bài viết này

Một nghiên cứu toàn diện vừa được công bố trong tuần qua đã phát hiện ra hành vi giống như "cửa hậu" được ẩn - như các khóa truy cập bí mật, mật khẩu chính và các lệnh bí mật - trong hơn 12.700 ứng dụng Android.

Phát hiện hơn 12.000 ứng dụng Android có chứa "cửa hậu" ẩn - Ảnh 1.

Để khám phá hành vi ẩn giấu này, các nhà nghiên cứu từ châu Âu và Mỹ đã phát triển một công cụ tùy chỉnh có tên InputScope, được sử dụng để phân tích các trường mẫu đầu vào được tìm thấy bên trong hơn 150.000 ứng dụng Android.

Chính xác hơn, các nhà nghiên cứu đã phân tích 100.000 ứng dụng hàng đầu trên Play Store (dựa trên số lượng cài đặt của họ), 20.000 ứng dụng hàng đầu được lưu trữ trên các cửa hàng ứng dụng của bên thứ ba và hơn 30.000 ứng dụng được cài đặt sẵn trên thiết bị cầm tay của Samsung.

Nhóm nghiên cứu cho biết: "Nghiên cứu của chúng tôi đã phát hiện ra một tình huống liên quan. Chúng tôi đã xác định được 12.706 ứng dụng có chứa nhiều loại "cửa hậu" như khóa truy cập bí mật, các mật khẩu chính và các lệnh bí mật".

Các nhà nghiên cứu cho biết các cơ chế "cửa hậu" ẩn này có thể cho phép kẻ tấn công truy cập trái phép vào tài khoản của người dùng. Hơn nữa, nếu kẻ tấn công có quyền truy cập vật lý vào thiết bị và một trong những ứng dụng này đã được cài đặt, nó cũng có thể cấp cho kẻ tấn công quyền truy cập vào điện thoại hoặc cho phép chúng chạy mã trên thiết bị với các đặc quyền nâng cao (do các lệnh bí mật ẩn trong trường đầu vào của ứng dụng).

Một số mẫu của cơ chế kiểu "cửa hậu" ẩn

Đề cập đến một ví dụ cụ thể, nhóm nghiên cứu cho biết: "Bằng cách kiểm tra thủ công một số ứng dụng di động, chúng tôi phát hiện một ứng dụng điều khiển từ xa phổ biến (10 triệu lượt cài đặt) có chứa mật khẩu chính có thể mở khóa truy cập ngay cả khi chủ sở hữu điện thoại bị khóa từ xa khi thiết bị (bị mất).

ồng thời, chúng tôi cũng phát hiện ra một ứng dụng khóa màn hình phổ biến (5 triệu lượt cài đặt) sử dụng một khóa truy cập để đặt lại mật khẩu của người dùng tùy ý để mở khóa màn hình và vào hệ thống.

Ngoài ra, chúng tôi cũng phát hiện ra rằng một ứng dụng live streaming (5 triệu lượt cài đặt) có chứa khóa truy cập để vào giao diện quản trị viên, qua đó kẻ tấn công có thể cấu hình lại ứng dụng và mở khóa chức năng bổ sung.

Cuối cùng, chúng tôi đã tìm thấy một ứng dụng dịch thuật phổ biến (1 triệu lượt cài đặt) chứa một khóa bí mật để bỏ qua việc thanh toán cho các dịch vụ nâng cao như xóa quảng cáo được hiển thị trong ứng dụng".

Các ví dụ do nhóm nghiên cứu đưa ra cho thấy, một số vấn đề rõ ràng gây nguy hiểm cho sự an toàn của người dùng và dữ liệu được lưu trữ trên thiết bị, trong khi một số vấn đề khác chỉ là các tính năng gỡ lỗi vô tình được đưa vào sản xuất.

Phát hiện hơn 12.000 ứng dụng Android có chứa "cửa hậu" ẩn - Ảnh 2.

Các thống kê kết quả đánh giá số ứng dụng được kiểm thử

Nhóm nghiên cứu cho biết họ đã thông báo cho tất cả các nhà phát triển ứng dụng nơi họ tìm thấy hành vi ẩn hoặc cơ chế giống như cửa hậu. Tuy nhiên, không phải tất cả các nhà phát triển ứng dụng đã trả lời.

Do đó, một số ứng dụng được cung cấp làm ví dụ trong Sách Trắng (white paper) của nhóm đã được đặt tên lại để bảo vệ người dùng.

Các chi tiết bổ sung về nghiên cứu này đã được một bài báo khoa học có tên "Automatic Uncovering of Hidden Behaviors From Input Validation in Mobile Apps" (tạm dịch: "Phát hiện tự động các hành vi ẩn từ xác thực đầu vào trong ứng dụng di động"), được các nhà nghiên cứu của Đại học bang Ohio, Đại học New York và Trung tâm bảo mật thông tin CISPA Helmholtz của Đức công bố.

Do công cụ InputScore đã phân tích các trường đầu vào bên trong các ứng dụng Android, nên tác dụng phụ của nghiên cứu này là nhóm học thuật cũng phát hiện ra ứng dụng nào sử dụng các bộ lọc từ xấu được ẩn hoặc danh sách đen có động cơ chính trị. 

Tổng cộng, các nhà nghiên cứu cho biết họ đã phát hiện 4.028 ứng dụng Android có danh sách đen đầu vào.

 Cảnh báo các ứng dụng Android độc hại

Vào tháng 2 vừa qua, trang Gizchina.com đã tiết lộ 9 ứng dụng Android độc hại từ Play Store đã được tải xuống 470.000 lần giả dạng như các công cụ tối ưu hóa hiệu suất.

Phát hiện hơn 12.000 ứng dụng Android có chứa "cửa hậu" ẩn - Ảnh 3.

Danh sách 9 ứng dụng Android độc hại

Trên thực tế, các ứng dụng này đã truy cập trái phép vào tài khoản Google và Facebook của người dùng. Đây là những gì được Trend Micro, một công ty Nhật Bản chuyên về an ninh mạng tiết lộ.

Theo đó, Trend Micro đăng một đăng ti báo cáo phần mềm độc hại nhắm mục tiêu người dùng Android từ Play Store.

Chiến lược được áp dụng ở đây là khá nguy hiểm. Phần mềm độc hại trên thực tế ẩn trong các ứng dụng có tên như là "Speed Clean" hoặc "Super Clean".

Phát hiện hơn 12.000 ứng dụng Android có chứa "cửa hậu" ẩn - Ảnh 4.

Nói cách khác, các tin tặc (hacker) đã dùng ý tưởng giả dạng các ứng dụng làm tăng tốc điện thoại để lừa người dùng tải về máy, bởi về cơ chế hoạt động, các ứng dụng này thực chất là những công cụ tối ưu hóa hiệu suất cho điện thoại.

Thay vì thực hiện các hoạt động bình thường, các ứng dụng này sẽ tự động tải thêm 3.000 tệp mã độc và nhờ đó, ứng dụng có thể truy cập trái phép vào tài khoản Google và Facebook của người dùng để thực hiện hành vi quảng cáo gian lận.

Những công cụ làm sạch này cùng vơi các công cụ khác sẽ chạy quảng cáo từ các nền tảng hợp pháp như Google AdMod hoặc Facebook Audience Network, sau đó tự động thực hiện các cú nhấp chuột vào quảng cáo để trục lợi.

Các ứng dụng giả mạo này cũng nhắc nhở người dùng cấp cho họ quyền trong khi vô hiệu hóa Play Protect, chương trình bảo mật trong cửa hàng Google Play. Điều này cho phép tải xuống ngày càng nhiều phần mềm lừa đảo mà không bị phát hiện.

Cuối cùng, họ cũng có thể sử dụng các tùy chọn trợ năng để đăng nhận xét và xếp hạng giả mạo lên Google Play để thu hút người khác tải xuống.

Hiện tại các ứng dụng bị ảnh hưởng đã bị Google xóa khỏi Cửa hàng Play, nhưng dự kiến phần mềm độc hại sẽ tiếp tục tấn công với các ứng dụng giả mạo khác. Các quốc gia bị ảnh hưởng nhiều nhất là Nhật Bản, Đài Loan, Hoa Kỳ, Thái Lan và Ấn Độ.

Việc phát hiện ứng dụng độc hại trên điện thoại Android sẽ giúp bạn phân biệt được đâu sẽ là ứng dụng an toàn, đâu là ứng dụng chứa các mã độc, từ đó hạn chế tối đa việc tải về những ứng dụng nguy hiểm và bảo vệ thiết bị Android trở nên an toàn hơn.

Theo các chuyên gia bảo mật, người dùng cần sử dụng tính năng phát hiện ứng dụng độc hại, Quét các ứng dụng có hại trên Android, không cài đặt ứng dụng không rõ nguồn gốc, luôn cập nhật phiên bản Android, hạn chế cấp quyền truy cập thiết bị quá nhiều để tránh các ứng dụng độc hại thu thập và sử dụng các dữ liệu cá nhân.

Hoàng Linh (Theo zdnet.com, gizchina.com)
Xem thêm