Một lỗ hổng nghiêm trọng trong bộ công cụ phát triển phần mềm (SDK) Android của bên thứ ba phổ biến đã khiến hàng chục triệu ví tiền điện tử dễ bị đánh cắp dữ liệu, theo một báo cáo mới được công bố bởi Nhóm Nghiên cứu Bảo mật Microsoft Defender.
Lỗ hổng này đã cho phép các ứng dụng độc hại vượt qua cơ chế bảo mật sandbox cốt lõi của Android.
Lỗ hổng này đã ảnh hưởng đến nhiều ứng dụng. Hệ sinh thái ví tiền điện tử và ví kỹ thuật số chịu ảnh hưởng nặng nề nhất do tính chất giá trị cao của dữ liệu được lưu trữ.
Microsoft đã xác định hơn 30 triệu lượt cài đặt ứng dụng ví tiền điện tử của bên thứ ba bị ảnh hưởng. Tổng số lượt cài đặt gặp rủi ro vượt quá 50 triệu.
Nếu bị khai thác, lỗ hổng này có thể đã làm lộ Thông tin nhận dạng cá nhân (PII), thông tin đăng nhập riêng tư của người dùng và dữ liệu tài chính nhạy cảm được lưu trữ sâu trong các thư mục riêng tư của ứng dụng bị ảnh hưởng.
May mắn thay, Microsoft lưu ý rằng hiện tại không có bằng chứng nào cho thấy lỗ hổng này đã từng bị các tác nhân đe dọa khai thác chủ động ngoài thực tế.
EngageLab SDK là một công cụ được các nhà phát triển sử dụng để quản lý thông báo đẩy (push notifications) và tin nhắn trong ứng dụng theo thời gian thực. Lỗ hổng bảo mật được truy tìm đến một thành phần cụ thể (MTCommonActivity) tự động được thêm vào mã nền của ứng dụng sau quá trình biên dịch.
Vì thành phần này được xuất ra rộng rãi, nó trở nên có thể truy cập được đối với các ứng dụng khác được cài đặt trên cùng một thiết bị Android.
Một ứng dụng độc hại được cài đặt trên cùng thiết bị có thể tạo một tin nhắn bị thao túng (một "intent") và gửi nó đến ứng dụng ví tiền điện tử dễ bị tổn thương.
Ứng dụng ví sẽ xử lý intent này bằng cách sử dụng danh tính và quyền đáng tin cậy của chính nó.
Điều này đã lừa ví cấp cho ứng dụng độc hại quyền đọc và ghi liên tục vào các thư mục dữ liệu riêng tư của nó.
Hành động nhanh chóng đã được thực hiện trên toàn hệ sinh thái Android để giảm thiểu mối đe dọa này.
