Phát hiện hơn 12.000 ứng dụng Android có chứa "cửa hậu" ẩn

Một nghiên cứu toàn diện vừa được công bố trong tuần qua đã phát hiện ra hành vi giống như "cửa hậu" được ẩn - như các khóa truy cập bí mật, mật khẩu chính và các lệnh bí mật - trong hơn 12.700 ứng dụng Android.

Để khám phá hành vi ẩn giấu này, các nhànghiên cứu từ châu Âu và Mỹ đã phát triển một công cụ tùy chỉnh có tên InputScope, được sử dụng để phân tích các trường mẫu đầu vào được tìm thấy bên trong hơn 150.000 ứng dụng Android.

Chính xác hơn, các nhà nghiên cứu đã phân tích 100.000 ứng dụng hàng đầu trênPlay Store (dựa trên số lượng cài đặt của họ), 20.000 ứng dụng hàng đầu được lưu trữ trên các cửa hàng ứng dụng của bên thứ ba và hơn 30.000 ứng dụng được cài đặt sẵn trên thiết bị cầm tay của Samsung.

Nhóm nghiên cứu cho biết: "Nghiêncứu của chúng tôi đã phát hiện ra một tình huống liên quan. Chúng tôi đã xác định được 12.706 ứng dụng có chứa nhiều loại "cửa hậu" như khóa truy cập bí mật, cácmật khẩu chính và các lệnh bí mật".

Các nhà nghiên cứu cho biết các cơ chế "cửa hậu" ẩn này có thể cho phép kẻ tấn công truy cập trái phép vào tài khoản của người dùng. Hơn nữa, nếu kẻ tấn công có quyền truy cập vật lý vào thiết bị và một trong những ứng dụng này đã được cài đặt, nó cũng có thể cấp cho kẻ tấn công quyền truy cập vào điện thoại hoặc cho phép chúng chạy mã trên thiết bị với các đặc quyền nâng cao (do các lệnh bí mật ẩn trong trường đầu vào của ứng dụng).

Một số mẫu của cơ chế kiểu "cửa hậu" ẩn

Đề cập đến một ví dụ cụ thể, nhóm nghiên cứu cho biết: "Bằng cách kiểm tra thủ công một số ứng dụng di động, chúng tôi pháthiện một ứng dụng điều khiển từ xa phổ biến (10 triệu lượt cài đặt) có chứa mật khẩu chính có thể mở khóa truy cập ngay cả khi chủ sở hữu điện thoại bị khóa từ xa khi thiết bị (bị mất).

"Đồng thời, chúng tôi cũng phát hiện ra một ứng dụng khóa màn hình phổ biến (5 triệu lượt cài đặt) sử dụng mộtkhóa truy cập để đặt lại mật khẩu của người dùng tùy ý để mở khóa màn hình và vào hệ thống.

Ngoài ra, chúng tôi cũng phát hiện ra rằng một ứng dụng live streaming (5 triệu lượt cài đặt) có chứa khóa truy cập để vào giao diện quản trị viên, qua đó kẻ tấn công có thể cấu hình lại ứng dụng và mở khóa chức năng bổ sung.

Cuối cùng, chúng tôi đã tìm thấy một ứng dụng dịch thuật phổ biến (1 triệu lượt cài đặt) chứa một khóa bí mật để bỏ qua việc thanh toán cho các dịch vụ nâng cao như xóa quảng cáo được hiển thị trong ứng dụng".

Các ví dụ do nhóm nghiên cứu đưa ra cho thấy, một số vấn đề rõ ràng gây nguy hiểm cho sự an toàn của người dùng và dữ liệu được lưu trữ trên thiết bị, trong khi một số vấn đề khác chỉ là các tính năng gỡ lỗi vô tình được đưa vào sản xuất.

Nhóm nghiên cứu cho biết họ đã thông báo cho tất cả các nhà phát triển ứng dụng nơi họ tìm thấy hành vi ẩn hoặc cơ chế giống như cửa hậu. Tuy nhiên, không phải tất cả các nhà phát triển ứng dụng đã trả lời.

Do đó, một số ứng dụng được cung cấp làm ví dụ trong Sách Trắng (white paper) của nhóm đã được đặt tên lại để bảo vệ người dùng.

Các chi tiết bổ sung về nghiên cứu này đãđược một bài báo khoa học có tên"Automatic Uncovering of Hidden Behaviors From Input Validation in Mobile Apps" (tạm dịch: "Phát hiện tựđộng các hành vi ẩn từ xác thực đầu vào trong ứng dụng di động"), được các nhà nghiên cứu của Đại học bang Ohio, Đại học New York và Trung tâm bảo mật thông tin CISPA Helmholtz của Đứccông bố.

Do công cụ InputScore đã phân tích các trường đầu vào bên trong các ứng dụng Android, nên tác dụng phụ của nghiên cứu này là nhóm học thuật cũng phát hiện ra ứng dụng nào sử dụng các bộ lọc từ xấuđược ẩn hoặc danh sách đen có động cơ chính trị. 

Tổng cộng, các nhà nghiên cứu cho biết họ đã phát hiện 4.028 ứng dụng Android có danh sách đen đầu vào.

Cảnh báo các ứng dụng Android độc hại

Vào tháng 2 vừa qua, trang Gizchina.com đã tiết lộ9 ứng dụng Android độc hại từ Play Store đã được tải xuống 470.000 lần giả dạng như các công cụ tối ưu hóa hiệu suất.

Trên thực tế, các ứng dụng này đã truy cập trái phép vào tài khoản Google và Facebook của người dùng. Đây là những gì được Trend Micro, một công ty Nhật Bản chuyên về an ninh mạng tiết lộ.

Theo đó, Trend Micro đăngmột đăng tải báo cáo phần mềm độc hại nhắm mục tiêu người dùng Android từ Play Store.

Chiến lược được áp dụng ở đây là khá nguy hiểm. Phần mềm độc hại trên thực tế ẩn trong các ứng dụng có tên như là "Speed Clean" hoặc "Super Clean".

Nói cách khác, các tintặc (hacker) đã dùng ý tưởng giả dạng các ứng dụng làm tăng tốc điện thoại để lừa người dùng tải về máy, bởi về cơ chế hoạt động, các ứng dụng này thực chất là những công cụ tối ưu hóa hiệu suất cho điện thoại.

Thay vì thực hiện các hoạt động bình thường, các ứng dụng này sẽ tự động tải thêm 3.000 tệp mã độc và nhờ đó, ứng dụng có thể truy cập trái phép vào tài khoản Google và Facebook của người dùng để thực hiện hành vi quảng cáogian lận.

Những công cụ làm sạch này cùng vơi các công cụ khácsẽ chạy quảng cáo từ các nền tảng hợp pháp như Google AdMod hoặc Facebook Audience Network, sau đó tự động thực hiện các cú nhấp chuột vào quảng cáo để trục lợi.

Cácứng dụng giảmạo này cũng nhắc nhở người dùng cấp cho họ quyền trong khi vô hiệu hóa Play Protect, chương trình bảo mật trong cửa hàng Google Play. Điều này cho phéptải xuống ngày càng nhiều phần mềm lừa đảo mà không bị phát hiện.

Cuối cùng, họ cũng có thể sử dụng các tùy chọn trợ năng để đăng nhận xét và xếp hạng giả mạo lên GooglePlay để thu hút người khác tải xuống.

Hiện tại các ứng dụng bị ảnh hưởng đã bị Google xóa khỏi Cửa hàng Play, nhưng dự kiến phần mềm độc hại sẽ tiếp tục tấn công với các ứng dụng giả mạo khác. Các quốc gia bị ảnh hưởng nhiều nhất là Nhật Bản, Đài Loan, Hoa Kỳ, Thái Lan và Ấn Độ.

Việc phát hiện ứng dụng độc hại trên điện thoại Android sẽ giúp bạn phân biệt được đâu sẽ là ứng dụng an toàn, đâu là ứng dụng chứa các mã độc, từ đó hạn chế tối đa việc tải về những ứng dụng nguy hiểm và bảo vệ thiết bị Android trở nên an toàn hơn.

Theo các chuyên gia bảo mật, người dùng cần sử dụng tính năng phát hiện ứng dụng độc hại, Quét các ứng dụng có hại trên Android, không cài đặt ứng dụng không rõ nguồn gốc, luôn cập nhật phiên bản Android, hạn chế cấp quyền truy cập thiết bị quá nhiều để tránh các ứng dụng độc hại thu thập và sử dụng các dữ liệu cá nhân.