Lỗi trên Android cho phép các ứng dụng thực hiện cuộc gọi giả mạo trên điện thoại

Một lỗ hổng xuất hiện trong hầu hết các thiết bị Android cho phép các ứng dụng thực hiện các cuộc gọi trái phép, làm gián đoạn cuộc gọi và thực thi mã đặc biệt có thể kích hoạt các hành động lừa đảo khác.

 

Minh họa lỗ hổng trên Android (Nguồn: Internet)

Các nhà nghiên cứu của công ty tư vấn an ninh Curesec ở Berlin đã phát hiện lỗ hổng này và báo cáo lên Google cuối năm ngoái. Họ tin rằng nó xuất hiện lần đầu trong phiên bản Android 4.1.x Jelly Bean. Lỗ hổng này đã được sửa trong bản Android 4.4.4, phát hành vào ngày 19 tháng 6. Tuy nhiên, phiên bản mới nhất này mới chỉ xuất hiện trên một số lượng thiết bị giới hạn và chiếm một tỷ lệ rất nhỏ trên các thiết bị cài đặt Android trên toàn thế giới. Dựa trên số liệu thống kê của Google, gần 60% các thiết bị Android kết nối với Google Play vào đầu tháng Sáu chạy phiên bản 4.1.x, 4.2.x và 4.3 của hệ điều hành di động Android. 13% chạy phiên bản 4.4, 4.4.1, 4.4.2 hoặc 4.4.3 cũng chứa lỗ hổng trên.

Hệ điều hành Android 4.1 hay còn gọi là Jelly Bean (Nguồn: Internet)

Lỗ hổng cho phép các ứng dụng chấm dứt các cuộc gọi đi hoặc gọi bất kỳ số điện thoại nào, bao gồm cả gọi những số phải trả phí dịch vụ cao mà không cần sự cho phép hay sự tương tác của người dùng. Lỗ hồng này đã vượt qua được mô hình bảo mật của Android, các ứng dụng không cần được cấp phép tính năng CALL_PHONE, có thể khởi tạo các cuộc gọi điện thoại. Lỗ hổng này cũng có thể được khai thác để thực hiện thao tác USSD (Unstructured Supplementary Service Data), SS (Supplementary Service hoặc các mã do nhà sản xuất xác định MMI (Man-Machine Interface). Các mã đặc biệt được nhập thông qua bàn phím, nằm giữa ký tự * và # và có thể khác nhau đối với các thiết bị và nhà sản xuất khác. Chúng có thể được sử dụng để truy cập vào các chức năng thiết bị hoặc các dịch vụ điều hành khác. Một lỗ hổng Android khác được phát hiện vào năm 2012 cho phép thực hiện các mã USSD và MMI bằng cách truy cập một trang độc hại. Tại thời điểm đó các nhà nghiên cứu tìm thấy những mã nhất định có thể đã được sử dụng để thiết lập một số điện thoại Samsung về thiết lập mặc định của nhà sản xuất, xóa tất cả dữ liệu người dùng. Một mã số cho phép thay đổi mã PIN của thẻ và có thể đã được sử dụng để khóa thẻ SIM bằng cách nhập mã xác nhận PUK sai nhiều lần (Personal Unblocking Key).

Ví dụ mã USSD (Nguồn: Internet)

"Danh sách các mã USSD/SS/MMI khá dài và có một số mã khá mạnh có thể thay đổi hướng cuộc gọi điện thoại (chuyển tiếp), ngăn chặn thẻ SIM, cho phép hoặc vô hiệu hóa cuộc gọi bất kỳ v.v," Giám đốc điều hành của Curesec, Marco Lux và nhà nghiên cứu Pedro Umbelino cho biết trong một bài đăng trên blog của Curesec thứ 6 tuần trước. Lỗ hổng mới có thể được khai thác bởi phần mềm độc hại trong thời gian tới, đặc biệt là thời gian vá lỗi cho các thiết bị Android là rất chậm và nhiều thiết bị không bao giờ được cập nhật hệ điều hành lên phiên bản mới. "Một kẻ tấn công có thể lừa nạn nhân cài đặt một ứng dụng giả mạo và sau đó sử dụng nó để gọi các số trả phí dịch vụ mà chúng sở hữu hoặc thậm chí nghe được những cuộc gọi qua microphone của điện thoại," Bogdan Botezatu, một nhà phân tích các mối đe dọa trực tuyến cao cấp của Bitdefender cho biết, ông cũng là người xác nhận các lỗi được tìm thấy bởi các nhà nghiên cứu Curesec hôm thứ 2 vừa qua. "Cách tiếp cận gọi những số phải trả phí dịch vụ cao có vẻ hợp lý hơn, đặc biệt là kể từ khi Android không sàng lọc những số phải trả phí dịch vụ cao cho dịch vụ thoại khi nó diễn ra đồng thời với việc nhắn tin." Việc tấn công kiểu này không im lặng hoàn toàn, người dùng có thể thấy một cuộc gọi đang tiến hành bằng cách nhìn vào điện thoại, nhưng có nhiều cách phát hiện khó khăn hơn. Một ứng dụng độc hại có thể đợi cho đến khi không có hoạt động nào trên điện thoại trước khi bắt đầu một cuộc gọi hoặc có thể thực hiện các cuộc tấn công chỉ vào ban đêm. Ứng dụng này cũng có thể che hoàn toàn màn hình cuộc gọi bằng một ứng dụng khác, ví dụ một trò chơi, Lux cho biết.

Số liệu thống kê sử dụng các phiên bản HĐH Android (Nguồn: Google)

Các nhà nghiên cứu tại Curesec đã tạo ra một ứng dụng mà người dùng có thể cài đặt để kiểm tra xem thiết bị của họ có bị tấn công hay không, nhưng họ đã không công bố cho Google Play. Theo như Lux biết, Google hiện đang kiểm tra các ứng dụng có khả năng khai thác lỗ hổng. Cách bảo vệ cho những người dùng không nhận được bản cập nhật Android 4.4.4 sẽ là một ứng dụng riêng biệt có thể ngăn chặn tất cả cuộc gọi đi và yêu cầu họ xác nhận trước khi tiếp tục, Lux nói. Lux và nhóm của ông cũng đã xác định một lỗ hổng riêng biệt trong các phiên bản cũ Android, cụ thể là 2.3.3 đến 2.3.6, còn được gọi là Gingerbread, có tác động tương tự. Những phiên bản Android vẫn còn được sử dụng trong khoảng 15% trên các thiết bị Android, theo số liệu của Google tháng 6 vừa qua.

Hiện tại, Google chưa phản hồi về thông báo trên.

Theo CSO

Thêm bình luận

Plain text

  • Không được dùng mã HTML.
  • Các địa chỉ web và email sẽ tự động được chuyển sang dạng liên kết.
  • Tự động ngắt dòng và đoạn văn.