Hàng triệu thiết bị Android đang có nguy cơ bị phơi nhiễm với malware ngay từ khi mới đập hộp

Lỗi lầm từ firmware mà ra cả.

Những sự cố bảo mật trên smartphone thường là do chính người dùng gây ra, như khi họ nhấn vào link sai trái, hay tải một ứng dụng nguy hiểm nào đó. Nhưng với hàng triệu các thiết bị Android, các lỗ hổng đã có sẵn từ khi người dùng còn chưa đập hộp, ẩn sau trong firmware, chỉ trực chờ được khai thác. Ai đã đặt những lỗ hổng vào đó? Có thể là do nhà sản xuất, và cũng có thể là do nhà mạng.

firmware

Đó chính là phát hiện quan trọng của phân tích mới từ công ty bảo mật di động Kryptowire, cho thấy các lỗi đã được cài đặt trước vào 10 thiết bị được bán bởi những nhà mạng lớn của Mỹ. CEO của Kryptowire, ông Angelos Stavrou và giám đốc nghiên cứu Ryan Johnson đã trình bày nghiên cứu của họ tại Hội nghị an ninh Mũ Đen vào hôm thứ sáu.

Các thiệt hại mà các lỗ hổng này có thể gây ra có nguy cơ từ thấp đến cao, chẳng hạn như bị khoá thiết bị hoặc bị kẻ gian truy cập vào microphone và các tính năng khác. Tuy nhiên, chúng đều có một điểm chung: lẽ ra chúng không nên có mặt trên thiết bị.

firmware1

Thay vào đó, chúng là sản phẩm phụ của một hệ điều hành Android mở, cho phép các công ty bên thứ ba sử đổi code theo ý thích của họ. Về cơ bản, điều này không có gì sai; nó đem lại sự khác biệt và cho phép người dùng có nhiều sự lựa chọn hơn. Google sẽ ra mắt một phiên bản Android Pie cơ bản vào mùa thu này, nhưng sau đó, kiểu gì cũng sẽ có nhiều phiên bản khác nhau với nhiều hương vị khác nhau cho người dùng.

Mặc dù vậy, những thay đổi đó sẽ gây ra nhiều vấn đề, chẳng hạn như các bản cập nhật bảo mật sẽ phải mất thời gian lâu hơn để đến tay người dùng. Ngoài ra, như Stavrou và đội của ông đã phát hiện ra, chúng cũng có thể đem đến những lỗi firmware, khiến cho người dùng gặp nhiều rủi ro hơn.

Stavrou chia sẻ: “Vấn đề sẽ không đi đâu cả, bởi vì nhiều người trong chuỗi cung ứng muốn cài đặt ứng dụng của riêng họ, tuỳ chỉnh và bổ sung code của riêng họ. Điều này làm tăng bề mặt tấn công, và tăng khả năng xảy ra lỗi phần mềm. Họ đang để người dùng cuối dễ bị khai thác hơn, điều mà người dùng không thể phản hồi lại được.”

firmware2

Hội thảo Mũ đen tập trung nhiều vào các thiết bị đến từ Asus, LG, Essential và ZTE. ZTE đã khiến nhiều người quan tâm. Bộ an ninh nội địa Hoa Kỳ cho rằng công ty của Trung Quốc này là một mối đe doạ an ninh, mặc dù cơ quan này đã không chia sẻ bất kỳ bằng chứng cụ thể nào về điều đó.

Hãy nhìn vào chiếc Asus ZenFone V Live. Kryptowire cho rằng thiết bị này khiến chủ sở hữu có nguy cơ bị xâm chiếm toàn bộ hệ thống, bao gồm chụp ảnh màn hình, quay video màn hình, gọi điện thoại, đọc và chỉnh sửa tin nhắn, v.v…

Công ty đã chia sẻ: “Asus nhận thức được mối quan tâm về bảo mật của ZenFone và đang làm việc chăm chỉ và nhanh chóng để giải quyết chúng bằng những bản cập nhật phần mềm mà sẽ được cung cấp cho người dùng ZenFone. Asus cam kết bảo mật và quyền riêng tư của người dùng và chúng tôi đặc biệt khuyến khích người dùng cập nhật phần mềm ZenFone mới nhất để đảm bảo trải nghiệm người dùng an toàn.”

firmware3
Asus ZenFone V Live

Vào thời điểm này, việc cho ra mắt một bản cập nhật là điều mà Asus có thể làm để dọn sạch đống hỗn loạn mà họ đã tạo ra. Nhưng Stavrou cũng đặt câu hỏi về hiệu quả của quá trình chắp vá này: “Người dùng sẽ phải chấp nhận bản vá. Vì thế, kể cả khi họ gửi nó qua điện thoại, bạn có thể không chấp nhận cập nhật.” Ông cũng nhấn mạnh rằng trên một số mẫu điện thoại mà Kryptowire đã thử nghiệm, chính quá trình cập nhật cũng chẳng ra gì. Phát hiện này cũng được hỗ trợ bởi một nghiên cứu gần đây từ công ty nghiên cứu an ninh của Đức, Security Research Labs.

Những cuộc tấn công mà Kryptowire phát hiện ra phần lớn yêu cầu người dùng phải tải một ứng dụng. Stavrou cho biết những lỗ hổng này nguy hiểm đến mức những ứng dụng được tải về không cần phải có đặc quyền đặc biệt khi bạn cài đặt chúng. Một ứng dụng sẽ không cần phải lừa bạn để cho phép truy cập vào tin nhắn và nhật ký cuộc gọi của bạn. Nó đơn giản, lặng lẽ lấy những thông tin đó, nhờ vào firmware lầm lỗi của thiết bị.

Kịch bản đó sẽ dẫn đến nhiều kết quả khác nhau, phụ thuộc vào từng thiết bị. Với ZTE Blade Spark và Blade Vantage, lỗi firrmware cho phép bất cứ ứng dụng nào cũng có thể truy cập vào tin nhắn, dữ liệu cuộc gọi và nhật ký logcat, thứ mà thu thập thông báo hệ thống và có thể bao gồm những thông tin nhạy cảm như địa chỉ email, toạ độ GPS, v.v… Trên chiếc LG G6, các lỗ hổng có thể làm lộ nhật ký logcat, hoặc có thể sử dụng để khoá người dùng ra khỏi thiết bị. Và kẻ tấn công có thể khôi phục cài đặt gốc trên chiếc Essential Phone, xoá sạch dữ liệu và cache của máy.

firmware4

Trưởng nhóm truyền thông của Essential, Shari Doherty chia sẻ: “Một khi chúng tôi nhận thức được về lỗ hổng này, nó đã được lập tức sửa chữa bởi đội của chúng tôi.”

LG dường như đã giải quyết được một số, song không phải là tất cả những vấn đề cơ bản. Công ty đã chia sẻ: “LG đã nhận thức được về các lỗ hổng và đã giới thiệu các bản cập nhật bảo mật để giải quyết vấn đề này. Trong thực tế, đa phần các lỗ hổng được báo cáo đã được vá, hoặc đã được đưa vào các bản cập nhật bảo trì theo lịch trình sắp tới.”

Về phần ZTE, công ty chia sẻ trong một tuyên bố rằng họ “đã đưa ra hoặc đang làm việc với các nhà mạng ngày hôm nay để đưa ra các bản cập nhật bảo trì để sửa những lỗi đã được xác định này. ZTE sẽ tiếp tục làm việc với các đối tác công nghệ và các khách hàng nhà mạng để đưa ra các bản cập nhật bảo trì để tiếp tục bảo vệ các thiết bị của người tiêu dùng.”

firmware5
Essential Phone 2

Các chuỗi tuyên bố này cho thấy được sự tiến bộ, nhưng nó cũng nhấn mạnh một vấn đề chính. Những bản cập nhật này có thể sẽ mất nhiều tháng để được tạo ra và thử nghiện, theo Stavrou cho biết, và cần phải trải qua một chuỗi các công đoạn từ nhà sản xuất cho đến nhà mạng rồi mới đến khach hàng. Trong khi bạn chờ đợi, bạn chẳng thể làm gì để tự mình sửa chữa vấn đề, hay thậm chí bạn có thể chẳng thể xác định được vấn đề từ ban đầu.

Stavrou cho biết: “Một điều rõ ràng là chẳng có ai bảo về người tiêu dùng cả. Lỗi rất sâu trong hệ thống mà người dùng có thể còn không biết là nó ở đó. Hoặc kể cả nếu họ có biết, họ cũng không có cách nào khác ngoài việc đợi nhà sản xuất hay nhà mạng, hoặc bất cứ ai có khả năng cập nhật firmware.”

Một phát ngôn viên của Google đã chia sẻ trong một tuyên bố: “Chúng tôi muốn cảm ơn các nhà nghiên cứu bảo mật tại Kryptowire vì những nỗ lực của họ để củng cố an ninh cho hệ sinh thái Android. Các vấn đề mà họ đã vạch ra không ảnh hưởng đến chính hệ điều hành Android, mà thay vào đó, ảnh hưởng đến code và các ứng dụng của bên thứ ba trên các thiết bị.”

Code và các ứng dụng của bên thứ ba sẽ không biến mất đâu. Chừng nào mà chúng còn ở đó, các vấn đề sẽ vẫn còn tiếp diễn.

Theo Genk/Wired

Tin liên quan