Một số ứng dụng Android phổ biến có sẵn trong Cửa hàng Google Play dễ bị lỗ hổng liên kết với đường dẫn có tên mã là cuộc tấn công Dirty Stream có thể bị khai thác bởi một ứng dụng độc hại để ghi đè lên các tệp tùy ý trong thư mục chính của ứng dụng dễ bị tấn công.
"Ý nghĩa của mô hình lỗ hổng này bao gồm thực thi mã tùy ý và đánh cắp mã thông báo, tùy thuộc vào việc triển khai ứng dụng", Dimitrios Valsamaras thuộc nhóm Microsoft Threat Intelligence cho biết trong một báo cáo được công bố hôm thứ Tư.
Khai thác thành công có thể cho phép kẻ tấn công kiểm soát hoàn toàn hành vi của ứng dụng và tận dụng các mã thông báo bị đánh cắp để truy cập trái phép vào tài khoản trực tuyến của nạn nhân và các dữ liệu khác.
Hai trong số các ứng dụng được tìm thấy dễ bị tổn thương bởi vấn đề như sau: -
- Trình quản lý tệp Xiaomi (com.mi. Android.globalFileexplorer) - Hơn 1 tỷ lượt cài đặt
- WPS Office (cn.wps.moffice_eng) - Hơn 500 triệu lượt cài đặt
Mặc dù Android thực hiện cách ly bằng cách gán cho mỗi ứng dụng dữ liệu và không gian bộ nhớ chuyên dụng của riêng mình, nhưng nó cung cấp cái được gọi là nhà cung cấp nội dung để tạo điều kiện chia sẻ dữ liệu và tệp giữa các ứng dụng một cách an toàn. Nhưng giám sát việc thực hiện có thể cho phép bỏ qua các hạn chế đọc / ghi trong thư mục chính của ứng dụng.
"Mô hình dựa trên nhà cung cấp nội dung này cung cấp một cơ chế chia sẻ tệp được xác định rõ, cho phép một ứng dụng phục vụ chia sẻ các tệp của nó với các ứng dụng khác một cách an toàn với sự kiểm soát chi tiết", Valsamaras nói.
"Tuy nhiên, chúng tôi thường xuyên gặp phải trường hợp ứng dụng tiêu thụ không xác thực nội dung của tệp mà nó nhận được và liên quan nhất là nó sử dụng tên tệp được cung cấp bởi ứng dụng phục vụ để lưu trữ tệp đã nhận trong thư mục dữ liệu nội bộ của ứng dụng tiêu thụ."
Một kịch bản khác liên quan đến các ứng dụng tải thư viện gốc từ thư mục dữ liệu của chính nó (thay vì "/data/app-lib"), trong trường hợp đó, một ứng dụng giả mạo có thể khai thác điểm yếu nói trên để ghi đè lên thư viện gốc bằng mã độc được thực thi khi thư viện được tải.
Sau khi tiết lộ có trách nhiệm, cả Xiaomi và WPS Office đã khắc phục sự cố kể từ tháng 2/2024. Tuy nhiên, Microsoft cho biết vấn đề này có thể phổ biến hơn, đòi hỏi các nhà phát triển phải thực hiện các bước để kiểm tra ứng dụng của họ cho các vấn đề tương tự.
Google cũng đã công bố hướng dẫn riêng về vấn đề này, kêu gọi các nhà phát triển xử lý đúng tên tệp do ứng dụng máy chủ cung cấp.