Google cảnh báo về việc phát triển cách thức tấn công Android: SDK có cửa sau và ứng dụng được cài đặt sẵn

Google cho biết vào năm 2018, sự gia tăng số lượng ứng dụng có khả năng gây hại được tìm thấy trên các thiết bị Android được cài đặt sẵn hoặc phân phối thông qua các bản cập nhật qua mạng đang ngày càng nhiều lên.

Google đang báo cáo sự nỗ lực của các tác nhân xấu để xây dựng các ứng dụng có khả năng gây hại (PHAs) trên các thiết bị Android thông qua các ứng dụng được cài đặt sẵn và bằng cách gói chúng với các bản cập nhật hệ thống được phát qua mạng.

Kỹ thuật này đặc biệt rắc rối, Google cho biết, vì PHA thường độc hại và người dùng không kiểm soát được những gì được cài đặt sẵn trên điện thoại của họ và những gì được tải xuống qua bản cập nhật hệ thống.

Các tác nhân độc hại đã tăng cường nỗ lực của họ để nhúng PHA vào chuỗi cung ứng bằng hai điểm nhập chính: thiết bị mới được bán với PHA được cài đặt sẵn và các bản cập nhật qua mạng (OTA) kèm theo các bản cập nhật hệ thống hợp pháp với PHAs, đã viết cho Google trong Bảo mật Android của nó và Năm riêng tư trong Đánh giá 2018 , được phát hành vào thứ Sáu.

Mặc dù hai vectơ cho PHA này đang gặp rắc rối, báo cáo cho biết các trường hợp PHA tổng thể trên các thiết bị Android chạy Google Play Protect năm 2018 giảm 20% so với năm trước.

Điều này bao gồm PHA được cài đặt thông qua các cửa hàng ứng dụng giả mạo, Google Play hoặc các loại tấn công di động độc hại khác.

Báo cáo cho biết, việc cõng bản cập nhật hệ thống Android của một nhà sản xuất điện thoại có lợi thế cho các tác nhân xấu, theo báo cáo. Các nhà phát triển PHA được cài đặt sẵn chỉ cần đánh lừa nhà sản xuất thiết bị hoặc một công ty khác trong chuỗi cung ứng thay vì số lượng lớn người dùng, do đó, dễ dàng hơn để đạt được phân phối quy mô lớn, Google Google viết.

Ngay cả các nhà sản xuất điện thoại nhỏ hơn cũng có khả năng thỏa hiệp hàng trăm ngàn người dùng, Google cho biết.

Trong một báo cáo điều tra các trường hợp nhiễm phần mềm độc hại trên điện thoại thương hiệu BLU  cho thấy điện thoại được cài đặt sẵn phần mềm độc hại và cũng đã tải thêm phần mềm độc hại thông qua công cụ cập nhật của bên thứ ba.

Trong báo cáo của mình, Google lưu ý rằng các ứng dụng đi kèm trong các bản cập nhật OTA và được cài đặt sẵn trên các thiết bị mới thường có các đặc quyền thiết bị nâng cao. Điều đó cho phép các nhà phát triển đằng sau họ dễ dàng vượt qua các nỗ lực phát hiện và loại bỏ công cụ bảo mật của người dùng.

Cuối cùng, Google lưu ý các nhà phát triển của các ứng dụng này biết rằng việc thỏa hiệp chuỗi cung ứng của các nhà sản xuất thiết bị dễ dàng hơn là tấn công chế độ bảo mật nền tảng Android, cho phép họ sử dụng PHA như một cách để root thiết bị.

Báo cáo nói rằng các ứng dụng độc hại đã xâm nhập vào các thiết bị sử dụng các kỹ thuật này đã chuyển từ các ứng dụng thu thập dữ liệu sang các ứng dụng thao túng hoặc làm giảm trải nghiệm của người dùng cuối. Theo báo cáo, nó cũng có thể được sử dụng như một phần của một sáng kiến ​​lớn hơn, chẳng hạn như thực hiện hành vi gian lận nhấp chuột, khai thác tiền điện tử hoặc gian lận phân bổ cài đặt ứng dụng, theo báo cáo.

Không giống như các ứng dụng được tải xuống từ Google Play và các cửa hàng ứng dụng của bên thứ ba, có thể sử dụng các công cụ bảo mật tích hợp của Android, các ứng dụng được cài đặt sẵn và SDK cửa sau không có sự xa xỉ đó. Để giải quyết vấn đề đó, nhóm Bảo mật Android cho biết họ đã bắt đầu một chương trình vào năm 2017 hợp tác với các nhà sản xuất thiết bị để chứng nhận thiết bị an toàn – và không có PHA.

Chúng tôi đã mở rộng chương trình vào năm 2018 và hiện tại mọi thiết bị mới được chứng nhận Android đều trải qua quá trình quét ứng dụng giống như các ứng dụng trên Google Play. Ngoài ra, trình quét bảo mật của chúng tôi tìm kiếm các vấn đề bảo mật và quyền riêng tư phổ biến khác và từ chối chứng nhận thiết bị cho đến khi các nhà sản xuất thiết bị khắc phục các sự cố này, Google Google viết.

SDK Backdoored là một vấn đề phức tạp hơn để giải quyết. Một số SDK có vẻ hợp pháp, nhưng bao gồm các hành vi và chức năng mà nhà phát triển ứng dụng có thể không biết khi chúng bao gồm SDK, các báo cáo trạng thái. Chúng tôi đã làm việc với các nhà phát triển bị ảnh hưởng để giáo dục họ về mối đe dọa mới này và để xuất bản các phiên bản cập nhật của ứng dụng của họ mà không cần đến code backdoor.

(Theo threatpost)

0/5 (0 Reviews)

Leave a Comment