Google vừa vá một lỗ hổng trên hệ điều hành Android, cho phép tin tặc phát tán mã độc đến một chiếc thoại gần đó thông qua tính năng kết nối NFC (Near-Field Communication – Kết nối trường gần).
Kết nối NFC hoạt động thông qua dịch vụ Android Beam trên hệ điều hành Android. Dịch vụ này cho phép điện thoại gửi dữ liệu hình ảnh, tập tin, video và cả ứng dụng đến thiết bị khác ở gần đó thông qua sóng radio NFC, thay vì WiFi hay Bluetooth.
Thông thường các ứng dụng (tập tin APK) được gửi bằng dịch vụ NFC sẽ lưu trữ trên bộ nhớ, có thông báo hiển thị trên màn hình hỏi chủ sở hữu thiết bị có đồng ý để cài đặt ứng dụng từ nguồn không xác định hay không. Tuy nhiên hồi tháng 1, nhà nghiên cứu bảo mật Y.Shafranovich phát hiện các ứng dụng được gửi thông qua kết nối NFC từ phiên bản Android 8 (Oreo) trở lên sẽ không hiện lời nhắc này. Thay vào đó, thông báo sẽ cho phép người dùng cài đặt ứng dụng chỉ với một cú nhấp vào màn hình, không có cảnh báo bảo mật.
Nhìn bề ngoài, việc hệ thống thiếu lời nhắc này có vẻ không quan trọng lắm, nhưng thật ra đây là một vấn đề rất lớn trong mô hình bảo mật của hệ điều hành Android. Về nguyên tắc, các thiết bị Android không được phép cài đặt ứng dụng từ “nguồn không xác định” – vì mọi phần mềm ngoài cửa hàng Google Play đề được xem là không đáng tin cậy. Trong trường hợp người dùng muốn cài đặt ứng dụng bên ngoài, họ phải truy cập đến mục “Cài đặt ứng dụng từ các nguồn không xác định – Install apps from unknown sources” trong phần cài đặt và kích hoạt tính năng này.
Các phiên bản hệ điều hành trước Android 8, mục “Cài đặt ứng dụng từ các nguồn không xác định” thuộc phần thiết lập toàn hệ thống, áp dụng cho tất cả ứng dụng. Nhưng kể từ Android 8, Google đã thiết kế lại, chuyển mục này thành cài đặt trên ứng dụng. Người dùng có thể truy cập vào mục “Cài đặt ứng dụng không xác định – Install unknown apps” trong phần cài đặt bảo mật của Android. Hệ thống sẽ tự động cho phép các ứng dụng Android được cài đặt những phần mềm không rõ nguồn gốc khác. Ví dụ như trong hình bên dưới, Chrome và Dropbox trên Android được phép cài đặt những ứng dụng khác, tương tự như Play Store, và không bị chặn.
Nguyên nhân của lỗ hổng CVE-2019-2114 là do ứng dụng Android Beam được đưa vào “danh sách trắng”, cấp quyền tương đương Play Store (tương tự như Chrome và Dropbox trong ví dụ trên).
Google nghĩ rằng điều này khó xảy ra bởi dịch vụ Android Beam không phải phương pháp cài đặt ứng dụng mà chỉ là một phương thức truyền dữ liệu đơn giản. Dù vậy, bản vá bảo mật tháng 10 đã loại dịch vụ này khỏi danh sách các nguồn đáng tin cậy trong hệ điều hành.
Trái với suy nghĩ của Google, các nhà nghiên cứu bảo mật cho rằng hàng triệu người dùng có nguy cơ bị ảnh hưởng bởi lỗ hổng này. Trong trường hợp điện thoại có tính năng NFC và đang bật dịch vụ Android Beam, những kẻ tấn công sẽ có cơ hội phát tán mã độc lên thiết bị đó.
Bởi vì hệ thống không hiển thị cảnh báo tập tin đến từ nguồn không xác định, người dùng có thể vô tình nhấn vào cài đặt ứng dụng và có nguy cơ bị tấn công. Mặt khác, nhiều người có thể hiểu nhầm thông báo hiển thị đến từ Play Store và chọn cài đặt vì nghĩ rằng đó là bản cập nhật ứng dụng.
Vậy, làm thế nào để tự bảo vệ mình?
Kết nối NFC được bật mặc định trên tất cả thiết bị, thậm chí nhiều người dùng còn không biết dịch vụ truyền phát này đang được bật. Tuy nhiên, may mắn là kết nối này chỉ khả dụng khi hai thiết bị được đặt gần nhau trong khoảng cách 4cm (1,5 inch). Điều này đồng nghĩa kẻ tấn công cần đặt điện thoại gần với nạn nhân mới có thể thực hiện được hành vi. Trên thực tế khả năng này ít cơ hội xảy ra (nhưng vẫn tiềm ẩn nguy cơ).
Để giữ an toàn cho thiết bị, người dùng có thể cập nhật bản vá bảo mật tháng 10 và tiếp tục sử dụng NFC và dịch vụ Android Beam như bình thường. Trong trường hợp chưa thể nâng cấp bản cập nhật phần mềm mới, người dùng có thể vô hiệu hóa tính năng NFC và dịch vụ Android Beam.
Nếu bạn đang sử dụng điện thoại Android như một thẻ từ truy cập hoặc các giải pháp thanh toán không dây, hãy bật kết nối NFC nhưng vô hiệu hóa dịch vụ Android Beam. Khi đó, hệ thống sẽ không nhận tập tin qua NFC nhưng vẫn cho phép sử dụng tính năng này cho những mục đích khác.
Theo ZDNet