Lỗ hổng Android lây nhiễm mã độc cho thiết bị qua kết nối NFC

An toàn thông tin - Ngày đăng : 20:33, 08/11/2019

Một lỗ hổng trên hệ điều hành Android có thể cho phép tin tặc phát tán mã độc đến một chiếc thoại gần đó thông qua tính năng kết nối NFC.

Tính năng truyền NFC này hoạt động dựa trên dịch vụ Android Beam có trong Android. Dịch vụ này cho phép thiết bị Android gửi các dữ liệu như hình ảnh, tập tin, video và cả ứng dụng đến một thiết bị khác gần đó thông qua sóng radio NFC (Near-Field Communication - Kết nối trường gần) thay vì WiFi hay Bluetooth.

Lỗ hổng có tên CVE-2019-2114 này ảnh hưởng tới các phiên bản Android 8 (Oreo) trở lên. Google đã phát hành bản vá lỗi trong bản tin bảo mật (Security Bulletin) tháng 10/2019. Người dùng được khuyến cáo nên cập nhật bản vá trên thiết bị của mình để ngăn chặn lỗ hổng CVE-2019-2114 bị khai thác.

CVE-2019-2114 có thể bị khai thác như thế nào?

Tin tặc có thể khai thác CVE-2019-2114 là do, theo mặc định, việc bật tính năng NFC có thể dẫn đến sự leo thang đặc quyền cục bộ bằng việc cài đặt một ứng dụng không có đặc quyền thực thi. Các thiết bị Android có bật NFC và Android Beam sẽ bỏ qua việc kiểm tra các ứng dụng không xác định và lời nhắc khi cài đặt khiến người không biết rằng mình đã cài đặt một ứng dụng độc hại. Thay vào đó, thông báo sẽ cho phép người dùng cài đặt ứng dụng chỉ với một cú nhấp vào màn hình mà không có cảnh báo bảo mật.

Việc thiếu đi một lời nhắc có vẻ không quan trọng mấy, nhưng đây là một lỗi lớn đối với vấn đề bảo mật trên Android. Các thiết bị Android không được phép cài đặt các ứng dụng từ "những nguồn không xác định", mọi ứng dụng ngoài gian hàng Play Store đều được coi là không đáng tin cậy và chưa được xác minh. Khi người dùng muốn cài đặt một ứng dụng ngoài Play Store, họ phải truy cập đến mục "Install unknown apps" trong phần cài đặt bảo mật của Android để kích hoạt tính năng này, sau đó mới có thể bắt đầu cài đặt tương tự như ứng dụng từ Play Store mà không bị chặn lại.

Thực tế, lỗi CVE-2019-2114 này tồn tại là do ứng dụng Android Beam cũng được liệt vào danh sách trắng (whitelist) với mức tin cậy tương đương với ứng dụng Play Store chính thức. Trong bản vá tháng 10/2019, Android đã xóa dịch vụ Android Beam khỏi danh sách (whitelist) các nguồn đáng tin cậy trong hệ điều hành.

Tuy nhiên, vẫn có hàng triệu người dùng có nguy cơ bị ảnh hưởng. Nếu thiết bị có NFC và người dùng bật dịch vụ Android Beam, kẻ tấn công gần đó có thể phát tán mã độc (các ứng dụng độc hại) trên điện thoại của họ.

Do không có bất cứ lời nhắc nào cho việc cài đặt ứng dụng từ một nguồn không xác định, người dùng có nguy cơ gặp phải các ứng dụng độc hại mà không biết.

Các khuyến cáo bảo mật

Ngoài việc cập nhật thiết bị, người dùng Android có thể tự bảo vệ mình khỏi việc khai thác lỗ hổng CVE-2019-2114 bằng cách kiểm tra không cho phép “"Install unknown apps”  trong phần cài đặt.

Mặc khác, kết nối NFC chỉ được thiết lập khi 2 thiết bị được đặt rất gần nhau. Điều này đồng nghĩa rằng kẻ tấn công cần phải đặt điện thoại của mình gần với của nạn nhân, và điều này không phải lúc nào cũng có thể xảy ra.

DY