Lỗ Hổng Nghiêm Trọng Trong SDK Android
Một lỗ hổng nghiêm trọng trong bộ công cụ phát triển phần mềm Android (SDK) của bên thứ ba phổ biến đã khiến hàng chục triệu ví tiền điện tử dễ bị đánh cắp dữ liệu. Theo báo cáo mới được công bố bởi Nhóm Nghiên cứu An ninh Microsoft Defender, lỗi này cho phép các ứng dụng độc hại vượt qua sandbox bảo mật cốt lõi của Android.
Tác Động Đến Hệ Sinh Thái Tiền Điện Tử
Lỗ hổng này đã ảnh hưởng đến nhiều ứng dụng khác nhau, gây tác động nặng nề cho hệ sinh thái tiền điện tử và ví kỹ thuật số do giá trị cao của dữ liệu được lưu trữ. Microsoft đã xác định hơn 30 triệu cài đặt của các ứng dụng ví tiền điện tử bên thứ ba bị ảnh hưởng, với tổng số cài đặt bị lộ lên tới hơn 50 triệu.
Nếu bị khai thác, lỗ hổng này có thể đã để lộ Thông tin Cá nhân Nhận diện (PII), thông tin xác thực người dùng riêng tư và dữ liệu tài chính nhạy cảm được lưu trữ trong các thư mục riêng tư của ứng dụng bị ảnh hưởng.
May mắn thay, Microsoft đã lưu ý rằng hiện tại không có bằng chứng nào cho thấy lỗ hổng này đã từng bị khai thác một cách chủ động bởi các tác nhân đe dọa trong thực tế.
Nguyên Nhân Của Lỗi Bảo Mật
SDK EngageLab là một công cụ được các nhà phát triển sử dụng để quản lý thông báo đẩy và nhắn tin trong ứng dụng theo thời gian thực. Lỗi bảo mật này được truy nguyên đến một thành phần cụ thể (MTCommonActivity) đã được tự động thêm vào mã nền của một ứng dụng sau quá trình xây dựng.
Do thành phần này được xuất khẩu rộng rãi, nó đã trở nên có thể truy cập bởi các ứng dụng khác được cài đặt trên cùng một thiết bị Android. Một ứng dụng độc hại cài đặt trên cùng một thiết bị có thể tạo ra một thông điệp bị thao túng (một “ý định”) và gửi nó đến ứng dụng ví tiền điện tử bị tổn thương.
Ứng dụng ví sẽ xử lý ý định này bằng cách sử dụng danh tính và quyền hạn đáng tin cậy của chính nó, từ đó đánh lừa ví cấp quyền truy cập đọc và ghi liên tục cho ứng dụng độc hại vào các thư mục dữ liệu riêng tư của nó.
Hành động nhanh chóng đã được thực hiện trên toàn bộ hệ sinh thái Android để giảm thiểu mối đe dọa.
