Từng nghĩ Android khá an toàn... cho đến khi đọc về cuộc tấn công mang tên IonStack

K
Kaya
Phản hồi: 0

Kaya

Writer
Có một thói quen mà chắc nhiều người cũng giống mình. Khi nhận được một đường link từ bạn bè, đồng nghiệp hay khách hàng, nếu thấy có vẻ bình thường thì mình mở luôn. Nhiều khi còn chẳng để ý đó là website gì.

Mình vẫn luôn nghĩ: "Cùng lắm là web lừa đảo thôi, không nhập mật khẩu thì chắc chẳng sao". Nhưng sau khi đọc nghiên cứu mới về chuỗi tấn công IonStack, mình nhận ra một điều đáng suy nghĩ hơn nhiều. Tin tặc không còn cố tìm một lỗ hổng thật nghiêm trọng nữa. Họ chỉ cần nhiều lỗ hổng nhỏ, rồi ghép chúng lại thành một "chuỗi tấn công" hoàn chỉnh. Đó mới là điều đáng sợ.

Các nhà nghiên cứu đã chứng minh rằng chỉ cần người dùng truy cập vào một trang web được chuẩn bị sẵn, tin tặc có thể kết hợp nhiều lỗ hổng bảo mật để từng bước vượt qua các lớp bảo vệ của Android. Điều đáng sợ là đây không còn là câu chuyện về một lỗ hổng.

Họ ghép nhiều lỗ hổng lại thành một "chuỗi tấn công". Mỗi lỗ hổng chỉ làm một việc nhỏ, nhưng khi kết hợp với nhau, chúng có thể giúp kẻ tấn công tiến từ trình duyệt đến hệ điều hành và cuối cùng giành quyền kiểm soát toàn bộ thiết bị. Nghe có vẻ rất kỹ thuật, nhưng điều người dùng cần nhớ lại cực kỳ đơn giản.
a0ca3bbd-a7c3-4ba8-a554-7fb575b3dfe4.png
Theo nghiên cứu, mọi chuyện bắt đầu rất đơn giản. Tin tặc sẽ tìm cách dụ người dùng truy cập vào một website đã được chuẩn bị sẵn. Đó có thể là một đường link trong email, tin nhắn, mạng xã hội hoặc bất kỳ nơi nào khiến nạn nhân tin tưởng và bấm vào.

Ngay khi website được mở, mã JavaScript trên trang sẽ được trình duyệt xử lý như mọi website bình thường khác.

Nếu phiên bản Firefox trên điện thoại vẫn còn tồn tại lỗ hổng trong JavaScript Engine (bộ phận chịu trách nhiệm xử lý JavaScript), kẻ tấn công có thể lợi dụng lỗi này để chạy mã của mình ngay bên trong trình duyệt.

Đến đây nhiều người sẽ nghĩ: "Thế là mất điện thoại rồi?" Thực ra là chưa...

Android vẫn còn một lớp bảo vệ rất quan trọng​

Android được thiết kế để mỗi ứng dụng hoạt động trong một "vùng an toàn" riêng, còn gọi là sandbox. Có thể hình dung sandbox giống như một căn phòng khóa kín. Dù kẻ xấu có vào được căn phòng đó thì cũng chưa thể đi sang các phòng khác hoặc chạm tới dữ liệu của toàn bộ hệ thống.

Vì vậy, sau bước đầu tiên, mã độc mới chỉ có thể hoạt động trong phạm vi của trình duyệt Firefox. Muốn kiểm soát cả chiếc điện thoại, tin tặc phải tìm cách thoát khỏi chiếc "lồng" này.

Đây mới là lúc chuỗi tấn công phát huy tác dụng​

Theo các nhà nghiên cứu, IonStack không dừng lại ở lỗ hổng của trình duyệt. Sau khi có chỗ đứng trong Firefox, chuỗi tấn công tiếp tục khai thác thêm một lỗ hổng khác nằm trong nhân Linux (Linux Kernel) - phần được xem là "bộ não" của hệ điều hành Android.

Lỗ hổng này giúp kẻ tấn công leo thang đặc quyền. Nói đơn giản, ban đầu họ chỉ có quyền giống như một ứng dụng bình thường. Sau khi khai thác lỗ hổng của Kernel, họ có thể từng bước nâng quyền lên mức Root – quyền quản trị cao nhất trên thiết bị.

Nếu ví chiếc điện thoại như một tòa nhà, thì lúc đầu tin tặc chỉ đứng được ở sảnh. Nhờ lỗ hổng thứ hai, họ lấy được chìa khóa tổng và có thể mở gần như mọi cánh cửa còn lại.

Khi đã có quyền Root, mọi chuyện trở nên rất khác​

Đây mới là mục tiêu cuối cùng của chuỗi tấn công. Khi đã giành được quyền Root, kẻ tấn công gần như có thể làm mọi thứ trên thiết bị:
  • Cài đặt thêm mã độc.
  • Đọc hoặc sao chép dữ liệu.
  • Theo dõi hoạt động của người dùng.
  • Cài phần mềm gián điệp.
  • Điều khiển thiết bị từ xa.
  • Vượt qua nhiều cơ chế bảo vệ vốn được Android xây dựng để ngăn chặn các ứng dụng thông thường.
Điều đáng chú ý là không có lỗ hổng nào trong chuỗi này đủ sức chiếm quyền thiết bị nếu đứng một mình.

Chỉ khi nhiều lỗ hổng được ghép lại theo đúng trình tự, chúng mới tạo thành một cuộc tấn công hoàn chỉnh. Đó cũng là lý do các chuyên gia gọi IonStack là một Exploit Chain (chuỗi khai thác).

Điều đáng lo không phải IonStack, mà là xu hướng phía sau nó​

Mình nghĩ đây mới là thông điệp quan trọng nhất của nghiên cứu. IonStack không đơn thuần là một kỹ thuật mới.

Nó cho thấy cách các cuộc tấn công mạng đang thay đổi. Trước đây, tin tặc thường cố tìm một lỗ hổng thật nghiêm trọng để đột nhập hệ thống.

Còn bây giờ, họ sẵn sàng kết hợp nhiều lỗ hổng có mức độ ảnh hưởng khác nhau. Lỗ hổng đầu tiên giúp mở cửa, lỗ hổng thứ hai giúp vượt qua lớp bảo vệ, lỗ hổng tiếp theo giúp giành quyền cao nhất. Khi tất cả được ghép lại, mức độ nguy hiểm tăng lên rất nhiều.

Vậy người dùng Android cần làm gì?​

Tin vui là các lỗ hổng được sử dụng trong nghiên cứu đã được báo cáo cho nhà phát triển và đang được vá thông qua các bản cập nhật bảo mật.

Điều đó cũng có nghĩa là cách phòng tránh hiệu quả nhất lại khá quen thuộc:
  • Cập nhật Android và các ứng dụng ngay khi có bản vá.
  • Không sử dụng các phiên bản trình duyệt hoặc hệ điều hành đã quá cũ.
  • Cẩn trọng với những đường link được gửi qua email, tin nhắn hoặc mạng xã hội, đặc biệt khi không rõ nguồn gốc.
  • Chỉ cài đặt ứng dụng từ các nguồn chính thức.
Mình từng nghĩ việc cập nhật phần mềm chỉ giúp điện thoại chạy mượt hơn.Sau khi đọc nghiên cứu này, mình mới hiểu rằng nhiều bản cập nhật thực chất đang vá những "mắt xích" mà tin tặc có thể ghép lại thành một cuộc tấn công hoàn chỉnh.

Có lẽ đó cũng là lý do các chuyên gia luôn nhắc đi nhắc lại một điều tưởng chừng rất đơn giản là đừng bỏ qua các bản cập nhật bảo mật. Đôi khi, chỉ một bản vá nhỏ lại là thứ ngăn chặn cả một chuỗi tấn công nguy hiểm phía sau.
 
Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview


Đăng nhập một lần thảo luận tẹt ga
Thành viên mới đăng
Top