Phát hiện chiến dịch hack Tệp Phương Tiện trên Whatsapp và Telegram

Thứ sáu, 26/07/2019 10:33 đăng bởi CISO

Nếu bạn nghĩ rằng các tệp phương tiện (file media) bạn nhận được trên các ứng dụng nhắn tin bảo mật được mã hóa end-to-end như Whatsapp và Telegram không thể bị giả mạo thì bạn thực sự cần suy nghĩ lại.

Các nhà nghiên cứu bảo mật tại Symantec mới đây đã mô phỏng nhiều kịch bản tấn công thú vị nhằm vào các ứng dụng WhatsApp và Telegram trên Android, có thể cho phép các chủ thể độc hại phát tán tin tức giả mạo hoặc lừa đảo người dùng gửi thanh toán đến tài khoản của các hacker.

Tệp phương tiện trên Whatsapp và Telegram có thể bị thao túng

Được đặt tên là “Media File Jacking”, cuộc tấn công đã một lần nữa chỉ ra thực tế rằng bất kỳ ứng dụng nào được cài đặt trên thiết bị đều có thể truy cập và ghi lại (rewrite) các tệp được lưu trong bộ nhớ ngoài, bao gồm cả các tệp được lưu bởi các ứng dụng khác cài đặt trên cùng thiết bị.

WhatsApp và Telegram vốn cho phép người dùng chọn vị trí lưu mong muốn đối với các tệp đa phương tiện vào bộ nhớ trong (internal storage) hoặc bộ nhớ ngoài (external storage) của thiết bị.

Tuy nhiên, WhatsApp cho Android theo mặc định sẽ tự động lưu trữ các tệp phương tiện trong bộ nhớ ngoài, trong khi Telegram cho Android sử dụng bộ nhớ trong để lưu trữ các tệp của người dùng mà các ứng dụng khác không thể truy cập.

Dẫu vậy, nhiều người dùng Telegram lại có thể thay đổi thủ công cài đặt này thành bộ nhớ ngoài, sử dụng tùy chọn “Lưu vào thư viện” trong cài đặt (settings), khi họ muốn chia sẻ lại các tệp media đã nhận với bạn bè bằng các ứng dụng liên lạc khác như Gmail, Facebook Messenger hoặc WhatsApp.

Cần lưu ý rằng các cuộc tấn công dạng này không chỉ giới hạn ở WhatsApp và Telegram mà còn ảnh hưởng đến chức năng và quyền riêng tư của nhiều ứng dụng Android khác.

Tấn công “Media File Jacking” hoạt động như thế nào?

tấn công media file jacking

Giống như các cuộc tấn công man-in-the-disk, một ứng dụng độc hại được cài đặt trên thiết bị của người nhận có thể chặn và thao túng các tệp phương tiện, chẳng hạn như ảnh, tài liệu hoặc video riêng tư được gửi giữa những người dùng với nhau thông qua bộ lưu trữ ngoài của thiết bị trong thời gian thực mà người nhận không hề hay biết.

Các nhà nghiên cứu cho biết thực tế là các tệp được lưu trữ và được tải từ bộ nhớ ngoài mà không có cơ chế bảo mật thích hợp sẽ có thể cho phép các ứng dụng khác có quyền lưu trữ “write-to-external” có thể gây rủi ro cho tính toàn vẹn của các tệp phương tiện.

Các hacker có thể lợi dụng mối quan hệ tin cậy giữa người gửi và người nhận khi sử dụng các ứng dụng nhắn tin này để thu lợi cá nhân hoặc thực hiện các cuộc tấn công phá hoại nhắm mục tiêu vào người dùng.

Các nhà nghiên cứu đã minh họa và mô phỏng bốn kịch bản tấn công như được giải thích bên dưới, trong đó một ứng dụng phần mềm độc hại có thể phân tích và thao tác tức thời các tệp đến (incoming files), dẫn đến:

1.) Thao túng hình ảnh (Image manipulation)

Trong kịch bản tấn công này, một ứng dụng có vẻ như an toàn nhưng thực chất là một ứng dụng độc hại được người dùng tải xuống có thể chạy trong nền để thực hiện cuộc tấn công Media File Jacking trong khi nạn nhân sử dụng WhatsApp và thao túng ảnh cá nhân gần với thời gian thực (near-real-time) mà nạn nhân không hề hay biết.

2.) Thao túng thanh toán (Payment manipulation)

Kịch bản mà các nhà nghiên cứu gọi là “một trong những cuộc tấn công Media File Jacking gây thiệt hại nhất” là một viễn cảnh mà chủ thể độc hại có thể thao túng hóa đơn do nhà cung cấp gửi cho khách hàng để lừa họ thanh toán vào tài khoản do kẻ tấn công kiểm soát.

3.) Giả mạo tin nhắn âm thanh (Audio message spoofing)

Trong kịch bản tấn công này, những kẻ tấn công có thể khai thác mối quan hệ tin cậy giữa các nhân viên trong một tổ chức. Họ có thể sử dụng tái tạo giọng nói thông qua công nghệ deep learning để thay đổi một tin nhắn âm thanh gốc nhằm mục đích tư lợi cá nhân hoặc phá hoại.

4.) Lan truyền tin giả mạo (Spread fake news)

Trong Telegram, quản trị viên sử dụng khái niệm “kênh” để truyền phát tin nhắn đến một số lượng người đăng ký không giới hạn sử dụng nội dung được xuất bản. Sử dụng các cuộc tấn công Media File Jacking, kẻ tấn công có thể thay đổi các tệp phương tiện xuất hiện trong nguồn cấp dữ liệu kênh đáng tin cậy trong thời gian thực để truyền bá tin tức giả.

Cách ngăn chặn tin tặc tấn công các tập tin Android của bạn

Symantec đã thông báo cho Telegram và Facebook / WhatsApp về các cuộc tấn công Media File Jacking, nhưng họ tin rằng vấn đề sẽ được Google giải quyết với bản cập nhật Android Q sắp tới.

Android Q bao gồm một tính năng bảo mật mới có tên là Scoped Storage thay đổi cách các ứng dụng truy cập các tệp trên bộ nhớ ngoài của thiết bị.

Scoped Storage cung cấp cho mỗi ứng dụng một hộp cát lưu trữ riêng biệt vào bộ nhớ ngoài của thiết bị nơi không có ứng dụng nào có thể truy cập trực tiếp dữ liệu được lưu bởi các ứng dụng khác trên thiết bị của người dùng.

Cho đến lúc đó, người dùng có thể giảm thiểu rủi ro của các cuộc tấn công đó bằng cách vô hiệu hóa tính năng chịu trách nhiệm lưu các tệp phương tiện vào bộ nhớ ngoài trên thiết bị. Để thực hiện thao tác này, người dùng Android có thể truy cập:

  • WhatsApp: Settings (Cài đặt) → Chats (Trò chuyện) → Turn the toggle off for ‘Media Visibility’ (Tắt chuyển đổi cho ‘Hiển thị phương tiện’)
  • Telegram: Settings (Cài đặt) → Chat Settings (Cài đặt trò chuyện) → Disable to toggle for ‘Save to Gallery’ (Tắt chuyển đổi cho ‘Lưu vào thư viện’)

Tin liên quan

NSA do thám Công ty Huawei Trung Quốc
Hàng trăm triệu máy tính Windows có nguy cơ dính lỗ hổng bảo mật Freak
Hàng triệu trang WordPress có nguy cơ bị tấn công bảo mật

Bài viết liên quan

Thêm bình luận

Thông tin thêm về định dạng văn bản

Plain text

  • Không được dùng mã HTML.
  • Các địa chỉ web và email sẽ tự động được chuyển sang dạng liên kết.
  • Tự động ngắt dòng và đoạn văn.