Các chuyên gia bảo mật tại Bluebox Security cho hay, kẻ xấu có thể lợi dụng lỗ hổng bảo mật trên để mạo danh các nhà phát triển uy tín và chiếm quyền điều khiển thiết bị của người dùng.
Fake ID có thể mạo danh Adobe System để cài đặt Trojan vào ứng dụng, giành quyền truy cập các dữ liệu thanh toán và tài chính truyền qua giao thức NFC bằng cách giả mạo Google Wallet; hay chiếm quyền điều khiển toàn bộ thiết bị nhờ mạo danh 3LM, công ty chuyên cung cấp các nền tảng bảo mật cho Android từng được Motorola Mobility mua lại vào năm 2011, trước khi Google mua lại Motorola.
Fake ID đã từng được tìm thấy trong các bản Android từ 2.1. Tuy nhiên, lỗ hổng bảo mật này đã được khắc phục khi Google tung bản vá (Google bug 13678484) hồi tháng 4. Phiên bản Android KitKat hoàn toàn miễn nhiễm với lỗ hổng bảo mật này do Google đã thực hiện một số thay đổi trong mã webview. Tuy vậy, vẫn còn hàng triệu thiết bị Android chưa được vá lỗi đang phải đối mặt với mối nguy hiểm này vì theo số liệu thống kê của Google, có hơn 80% người dùng vẫn đang sử dụng các phiên bản Android cũ.
Lỗ hổng bảo mật Fake ID hoạt động bằng cách khai thác các vấn đề phát sinh trong cách mà Android sử dụng các chữ ký số (digital ID). Trong Android, trước khi gán quyền cho một ứng dụng, HĐH sẽ chỉ kiểm tra nếu ứng dụng đó có một ID đúng chứ không hề kiểm tra nguồn cấp phát ID đó. Chính vì điều này mà các mã giả mạo ID có thể được chèn vào thay thế. Bên cạnh đó, một ứng dụng đơn lẻ cũng có thể mang nhiều ID khác nhau nên chúng có thể được lợi dụng để thực hiện nhiều cuộc tấn công khác nhau.
Hiện tại, Bluebox Security đã phát hành một ứng dụng miễn phí tên gọi Bluebox Security Scanner giúp kiểm tra xem liệu thiết bị Android của mình có nguy hiểm trước các cuộc tấn công của Fake ID hay không. Jeff Forristal, Giám đốc công nghệ tại Bluebox Security đang có kế hoạch thảo luận chi tiết về các lỗ hổng bảo mật này tại hội nghị bảo mật Black Hat tại Las Vegas vào tuần tới.
android, Fake ID, lỗ hổng bảo mật