Trong một báo cáo mới đây, nhà phân tích Dimitrios Valsamaras từ nhóm Microsoft Threat Intelligence đã chia sẻ về lỗ hổng Dirty Stream, cho phép tin tặc thực thi mã độc hại, đánh cắp token và kiểm soát hoàn toàn hành vi của ứng dụng. Tin tặc có thể sử dụng các token đánh cắp để truy cập trái phép vào tài khoản trực tuyến và dữ liệu cá nhân của nạn nhân.
Hai trong số các ứng dụng Android phổ biến bị dính lỗ hổng Dirty Stream, bao gồm:
Xiaomi File Manager (com.mi.Android.globalFileexplorer) đã được cài đặt hơn 1 tỉ lượt.
WPS Office (cn.wps.moffice_eng) đã được cài đặt hơn 500 triệu lượt.
Mặc dù Android thực hiện việc cách ly bằng cách chỉ định không gian bộ nhớ và dữ liệu riêng biệt cho mỗi ứng dụng, nhưng nó cung cấp content provider (nhà cung cấp nội dung) để tạo điều kiện chia sẻ dữ liệu và tệp giữa các ứng dụng một cách an toàn. Tuy nhiên, việc giám sát quá trình thực hiện có thể cho phép bỏ qua các hạn chế đọc/ghi trong thư mục chính của ứng dụng.
Theo Valsamaras, mô hình dựa trên nhà cung cấp nội dung này cung cấp cơ chế chia sẻ tệp được xác định rõ ràng, giúp ứng dụng chia sẻ tệp của mình với các ứng dụng khác một cách an toàn.
Tuy nhiên, chúng tôi thường xuyên phát hiện các ứng dụng tiêu thụ không xác thực nội dung của tệp mà chúng nhận được, và điều đáng lo ngại nhất là chúng sử dụng tên tệp do ứng dụng phục vụ cung cấp để lưu vào bộ đệm.
Các kịch bản tấn công khác nhau đều sử dụng lỗ hổng Dirty Stream. Ảnh: Microsoft
Hành động này có thể dẫn đến hậu quả nghiêm trọng. Nói cách khác, kẻ tấn công có thể tận dụng việc áp dụng tiêu thụ tin tưởng một cách mù quáng vào dữ liệu đầu vào để ghi đè tệp tin, thực thi mã tùy ý, đánh cắp thông tin nhạy cảm.
Sau khi được thông báo về vấn đề, cả Xiaomi và WPS Office đã đều đã sửa chữa sự cố từ tháng 2-2024. Tuy nhiên, Microsoft cảnh báo rằng lỗ hổng Dirty Stream có thể lan rộng hơn và yêu cầu các nhà phát triển kiểm tra ứng dụng Android của họ để phát hiện các vấn đề tương tự.
Google đã phát hành hướng dẫn riêng về vấn đề này, khuyến khích các nhà phát triển tuân thủ đúng cách đặt tên tệp mà máy chủ ứng dụng cung cấp.
Nếu bạn đang sử dụng 2 ứng dụng Android đó, bạn nên cập nhật chúng lên phiên bản mới nhất thông qua Google Play, đồng thời tránh cài đặt từ các file APK không tin cậy để giảm thiểu nguy cơ.
