Lỗi “Fake ID” đe dọa 4/5 thiết bị Android

Những nhà nghiên cứu an ninh tại Bluebox Labs đã phát hiện ra lỗi thiết kế trong Android có thể cho phép mã độc cướp quyền điều khiển thiết bị .

 

Có tên gọi là “Fake ID” , lỗi này liên quan tới việc an toàn ứng dụng được quản lí như thế nào . Trong Android , mỗi ứng dụng được cung cấp chữ kí được mã hóa duy nhất được xác định ai có thể cập nhật nó và nó được có những đặc quyền gì .

The Guardian giải thích , có những chức thực chính ( Parent ) và những chứng thực phụ ( Child ) , cả hai đều được kiểm tra lại trong quá trình cài đặt để bảo đảm là ứng dụng đó là tin cậy .

Tuy nhiên vấn đề ở đây đó là Android đã không kiểm tra chế độ an ninh đầy đủ do đó nó không  biết chứng chỉ đó phát hành là đúng hay là giả mạo .

Bluebox so sánh lỗi trên với một ví dụ như sau . Người công nhân tới và đưa ra thẻ nhận dạng cho người bảo vệ và được phép vào nếu như thẻ hợp lệ . Tuy nhiên người bảo vệ lại không thể xác nhận xem thẻ nhận dạng này có đúng là người này có làm việc ở đây hay không .

Bằng việc sử dụng lỗi này mà tin tặc có thể dùng phần mềm độc hại của mình nhưng lại sử dụng nhận dạng như là ứng dụng có quyền ưu đãi đặc biệt . Bluebox nói rằng Adobe Flash và Google Wallet là những ứng dụng ví dụ có quyền truy cập mức cao trong Android .

Lỗi trên đã tồn tại từ bản Android 2.1 phát hành năm 2010 và đã bị gỡ bỏ trong bản Android 4.4 nhưng nới chỉ có khoảng 18% người dùng Android sử dụng bản 4.4 . Điều đó có nghĩa là khoảng 82% người dùng Android đang đứng trước mối đe dọa trên .