Các nhà nghiên cứu bảo mật công bố bằng chứng khái niệm khai thác (PoC) cho lỗ hổng 0-day gần đây trên các thiết bị Android

Một nhà nghiên cứu bảo mật tại Mỹ mới đây đã công bố mã bằng chứng về khái niệm khai thác của lỗ hổng bảo mật 0-day của các thiết bị Android mới được phát hiện gần đây trên GitHub. Theo đó, ứng dụng Qu1ckR00t có thể tận dụng lỗ hổng 0-day này (có mã hiệu CVE-2019-2215) để root thiết bị Android.

Các nhà nghiên cứu bảo mật công bố bằng chứng khái niệm khai thác (PoC) cho lỗ hổng 0-day gần đây trên các thiết bị Android - CyberSec365.org

Theo đó, lỗ hổng 0-day này được phát hiện vào đầu tháng 10/2019 bởi các nhà nghiên cứu bảo mật thuộc nhóm bảo mật Google Project Zero. Vào thời điểm phát hiện, Google cho biết lỗ hổng 0-day này đang được khai thác tích cực trong thực tế.

Ngay thời điểm được tiết lộ, lỗ hổng 0-day này (có mã hiệu CVE-2019-2215), Maddie Stone - một nhà nghiên cứu bảo mật của Google cũng cung cấp kèm theo bằng chứng về khái niệm khai thác (PoC) nhưng chỉ ở mức cho phép truy cập vào cơ chế đọc/ghi của kernel

Để hiện thực hóa PoC của Maddie Stone, tin tặc vẫn cần tìm ra nhiều biện pháp để vượt qua các lớp bảo vệ có sẵn ở cấp độ Kernel trên Android.

Tuy nhiên, trong một bài đăng trên blog của Grant Hernandez, một ứng cử viên tiến sĩ tại Viện An ninh mạng Florida tại Đại học Florida, đã phát hành một PoC thực hiện điều này.

Được đặt tên là Qu1ckR00t, PoC có thể bỏ qua DAC (Kiểm soát truy cập tùy ý) và Linux Capabilities (CAP) và có thể vô hiệu hóa SELinux (Security-Enhanced Linux), SECCOMP (Secure Computing Mode) và MAC (Mandatory Access Control).

Kết quả cuối cùng là Qu1ckR00t có thể được sử dụng để root thiết bị Android, cho phép người dùng / kẻ tấn công kiểm soát hoàn toàn thiết bị.

Hiện tại, Qu1ckR00t được phát hành trên GitHub ở dạng mã nguồn và không phải là tệp APK đã được đóng gói (định dạng của ứng dụng Android). Người dùng sẽ phải tự biên dịch nó, nhưng khi được biên dịch, họ sẽ có một ứng dụng có thể root điện thoại thông minh Android chỉ bằng một cú nhấp chuột.

Rooting a Pixel 2 with Magisk from an untrusted app using CVE-2019-2215, no OEM unlock needed pic.twitter.com/yGovBluQj5

— Grant Hernandez (@Digital_Cold) October 9, 2019

Anh chàng cho biết, anh ta chỉ thử nghiệm Qu1ckR00t với thiết bị Pixel 2 và cảnh báo người dùng không nên thử nếu không có kinh nghiệm, vì Qu1ckR00t có nguy cơ làm hỏng hệ điều hành của và mất dữ liệu của người dùng.
Nhược điểm của việc phát hành một công cụ như Qu1ckR00t là giờ đây các tin tặc cũng có thể nghiên cứu mã. Cải tiến và nhúng nó nhúng bên trong các ứng dụng độc hại để cho phép phần mềm gián điệp, trojan hoặc ransomware Android có quyền truy cập root vào các thiết bị mà chúng lây nhiễm.

Google đã phát hành bản vá lỗi

Hiện tại, Google đã phát hành bản vá lỗi cho lỗ hổng bảo mật CVE-2019-2215 trong bản tin bảo mật Android tháng 10 năm 2019. Bên cạnh đó, Google cũng cho biết các mẫu điện thoại thông minh bị ảnh hưởng bởi lỗ hổng 0-day CVE-2019-2215 từ các nhà cung cấp khác nhau bao gồm:

1. Pixel 2 chạy Android 9 và Android 10 preview
2. Huawei P20
3. Xiaomi Redmi 5A
4. Xiaomi Redmi Note 5
5. Xiaomi A1
6. Oppo A3
7. Moto Z3
8. Oreo LG phones
9. Samsung S7, S8, S9

Bên cạnh đó, tất cả các thiết bị chạy phiên bản Android 8 trở lên cũng có thể trở thành nạn nhân của lỗ hổng này. Tuy nhiên, việc cập nhật bản vá lỗ hổng bảo mật đối với các thiết bị Android (ngoại trừ các thiết bị Pixel) còn tùy thuộc vào các nhà cung cấp thiết bị. Phương thức duy nhất là người dùng phải tự bảo vệ mình khỏi các ứng dụng lạ và không sử cài đặt các ứng dụng từ các chợ ứng dụng không rõ nguồn gốc,

Đại Phát (Theo THN)