Phát hiện lỗ hổng bảo mật nghiêm trọng trong SHAREit, cho phép tin tặc đánh cắp toàn bộ dữ liệu trên thiết bị Android

Các nhà nghiên cứu bảo mật đến từ hãng bảo mật RedForce mới đây đã phát hiện ra 2 lỗ hổng bảo mật nghiêm trọng trên phiên bản Android của ứng dụng SHAREit, có thể cho phép tin tặc bỏ qua cơ chế xác thực của thiết bị và đánh cắp các tập tin được lưu trữ.

Phát hiện lỗ hổng bảo mật nghiêm trọng trong SHAREit, cho phép tin tặc đánh cắp toàn bộ dữ liệu trên thiết bị Android - Cybersec365.org

Với hơn 1,5 tỷ người dùng trên toàn thế giới, SHAREit - một ứng dụng chia sẻ file phổ biến cho Android, iOS, Windows và MacOS được thiết kế để giúp người dùng có thể chia sẻ tập tin, nhạc, video và ứng dụng trên nhiều thiết bị khác nhau.
Theo thống kê, có hơn 500 triệu người dùng SHAREit trên các thiết bị Android - phiên bản bị phát hiện tồn tải lỗ hổng bảo mật nghiêm trọng, cho phép tin tặc đánh cắp dữ liệu của người dùng.
Được biết, lỗ hổng này đã được phát hiện vào tháng 12/2017 và được phát hành bản vá lỗi vào tháng 3/2018. Tuy nhiên các nhà nghiên cứu vẫn quyết định công bố thông tin chi tiết của lỗ hổng bảo mật về mức độ nguy hiểm của lỗ hổng này.

"We wanted to give as many people as we can the time to update and patch their devices before disclosing such critical vulnerability," said Abdulrahman Nour, a security engineer at RedForce.

SHAREit chia sẻ các tập tin như thế nào? 

 SHAREit sử dụng 2 cổng dịch vụ bao gồm Command Channel (chạy Port 55283) và Download Channel (chạy Port 2999). Trong đó, Command Channel sử dụng giao thức TCP thông thường, đây sẽ là kênh để ứng dụng trao đổi các thông tin bao gồm nhận dạng, xử lý yêu cầu truyền file, và kiểm tra kết nối. Download Channel sử dụng một server HTTP tích hợp, chủ yếu được sử dụng để tải xuống các tập tin được chia sẻ.
Theo các nhà nghiên cứu, khi sử dụng ứng dụng SHAREit trên Android và gởi file đến các thiết bị khác, phiên truyền tệp thông thường bắt đầu bằng nhận dạng thiết bị thông thường, sau đó 'người gửi' sẽ gửi tin nhắn điều khiển đến 'người nhận', cho biết rằng bạn có một tập tin để chia sẻ. Khi 'người nhận' xác minh rằng tệp không bị trùng lặp, nó sẽ chuyển đến Kênh tải xuống và tìm nạp tệp đã gửi bằng thông tin từ thông báo điều khiển trước đó.

Tuy nhiên, các nhà nghiên cứu phát hiện ra rằng khi người dùng không có phiên kết nối hợp lệ, thay vì trả về trang báo lỗi 404 thông thường, ứng dụng SHAREit sẽ phản hồi với trang trống mã trạng thái 200, đồng thời thêm người dùng vào các thiết bị được nhận dạng, và xác thực.
Theo các nhà nghiên cứu, việc khai thác bằng chứng khái niệm đầy đủ chức năng cho lỗ hổng SHAREit này sẽ đơn giản như curl http://shareit_sender_ip:2999/DontExist, biến nó thành phương thức xác thực kỳ lạ và đơn giản nhất từ trước đến nay.

Các nhà nghiên cứu cũng nhận ra rằng khi bắt đầu yêu cầu tải xuống, máy nhận dữ liệu sẽ gởi 1 request GET đến máy chia sẻ chứa đường dẫn như sau:

http://shareit_sender_ip:2999/download?metadatatype=photo&metadataid=1337&filetype=thumbnail&msgid=c60088c13d6

Vì ứng dụng SHAREit không xác thực tham số 'msgid' - mã định danh được tạo riêng cho mỗi yêu cầu xác thực, nên lỗ hổng này có thể cho phép tin tặc lợi dụng để tải xuống bất kỳ tập tin này trên thiết bị bằng cách tham chiếu mã định danh của nó.

Lỗ hổng này còn có thể bị kẻ tấn công khai thác thông qua mạng WiFi được chia sẻ. Khi ứng dụng SHAREit tạo ra một điểm truy cập Wi-Fi được sử dụng để chia sẻ tệp giữa hai thiết bị, tin tặc hoàn toàn có thể lợi dụng để truy cập trái phép, khai thác các lỗ hổng được phát hiện và có quyền truy cập không hạn chế vào bộ lưu trữ thiết bị.

Vì việc khai thác chỉ đơn giản là gửi một lệnh curl tham chiếu đường dẫn của tệp đích, nên người ta phải biết chính xác vị trí của tệp mà người ta muốn lấy.

Để khắc phục điều này, các nhà nghiên cứu bắt đầu tìm kiếm các tệp có đường dẫn đã biết sẵn có công khai, bao gồm SHAREit History và SHAREit MediaStore Database, có thể chứa thông tin thú vị.

"There are other files that contain juicy information such as user's Facebook token, Amazon Web Service user's key, auto-fill data and cookies of websites visited using SHAREit webview and even the plaintext of user's original hotspot (the application stores it to reset the hotspot settings to original values) and much more," researchers said.

Khi tiến hành thử nghiệm, các nhà nghiên cứu cho biết đã tải xuống được khoảng 3000 tập tin (có dung lượng khoảng 2GB) chỉ trong chưa đầy 8 phút của phiên truyền tệp.
 Nhóm đã liên hệ với Nhóm SHAREit nhiều lần trên nhiều nền tảng vào đầu tháng 1 năm 2018 nhưng không có phản hồi nào cho đến đầu tháng 2 khi các nhà nghiên cứu cảnh báo công ty sẽ công bố chi tiết lỗ hổng cho công chúng sau 30 ngày. Nhóm SHAREit đã âm thầm vá các lỗ hổng vào tháng 3 năm 2018, mà không cung cấp cho các nhà nghiên cứu các phiên bản vá chính xác của ứng dụng Android, ID CVE dễ bị tổn thương hoặc bất kỳ bình luận nào cho tiết lộ công khai.

"Communication with SHAREit team was not a good experience at all; Not only they took too long to respond to our messages, they also were not cooperative in any means, and we did not feel that our work or efforts were appreciated at all," researchers said.

Sau khi dành đủ thời gian cho người dùng cập nhật ứng dụng SHAREit của họ, các nhà nghiên cứu hiện đã phát hành chi tiết kỹ thuật về các lỗ hổng, cùng với khai thác PoC, DUMBit!, Có thể được tải xuống từ trang web GitHub.
Các lỗ hổng ảnh hưởng đến ứng dụng SHAREit cho Android <= phiên bản 4.0.38. Nếu bạn chưa có, bạn nên cập nhật ứng dụng SHAREit của mình từ Cửa hàng Google Play càng sớm càng tốt.

Nguồn: The Hạcker News