Các nhà nghiên cứu của Công ty phần mềm an ninh Checkmarx vừa tiết lộ một lỗ hổng mới trong các ứng dụng Máy ảnh của Google và Samsung, cho phép các ứng dụng khác tự chụp ảnh, quay video, hay thu thập thông tin vị trí của người dùng mà không cần được cấp quyền. Lỗ hổng này có tên CVE-2019-2234, có thể đã tác động đến hàng trăm triệu thiết bị Android của Google, Samsung và nhiều hãng khác nếu không được cập nhật trước tháng 7-2019.

“Mượn gió bẻ măng”

Sau khi phân tích ứng dụng Máy ảnh trên điện thoại Google Pixel, các nhà nghiên cứu Checkmarx phát hiện cần phải kết hợp nhiều quyền mới có thể điều khiển camera của thiết bị để chụp ảnh và quay video. Thông thường, một ứng dụng phải có các quyền như android.permission.CAMERA, android.permission.RECORD_AUDIO, android.permission.ACCESS_FINE_LOCATION và android.permission.ACCESS_COARSE_LOCATION để chụp ảnh, quay video, hay truy xuất thông tin vị trí của thiết bị.

Tuy nhiên, Checkmarx phát hiện các ứng dụng khác có quyền truy cập Storage (Bộ nhớ lưu trữ) - cho phép truy cập thẻ nhớ microSD và các dữ liệu trên đó, là có thể sử dụng Camera mà không cần các quyền vừa nêu trên.

Một ứng dụng độc hại chạy trên điện thoại Android được cấp quyền đọc thẻ nhớ microSD sẽ không chỉ có thể truy cập các hình ảnh và video, mà với phương thức tấn công mới này, sẽ còn có thể chụp ảnh và quay video mới tùy ý. Hơn thế nữa, các dữ liệu vị trí GPS thường được nhúng trong ảnh, do đó các tin tặc sẽ có thể lợi dụng để xác định vị trí của người dùng bằng cách chụp ảnh hay quay video, rồi phân tích dữ liệu EXIF trong đó.

Đây là một vấn đề rất nghiêm trọng vì nhiều ứng dụng thường yêu cầu quyền truy cập Bộ nhớ lưu trữ, như các game đua xe, các dịch vụ phát video, thậm chí là các ứng dụng thời tiết. Theo Checkmarx, cũng có rất nhiều ứng dụng hợp pháp yêu cầu quyền truy cập Bộ nhớ lưu trữ, nhưng nó không có liên quan nhiều đến hình ảnh hay quay video, nên người dùng rất khó xác định. 

Bên cạnh đó, quyền truy cập Bộ nhớ lưu trữ cũng chỉ là một trong nhiều yêu cầu thông dụng. Có trường hợp một ứng dụng giả mạo ứng dụng thời tiết nhưng âm thầm gởi hình ảnh, video và các bản ghi âm cuộc gọi điện thoại cho một máy chủ ra lệnh và điều khiển theo lệnh của tin tặc.

Lỗ hổng này rất nguy hiểm vì nó cho phép các ứng dụng khác, thường không có quyền, vẫn có thể chụp ảnh và quay video ngay cả khi điện thoại bị khóa hay tắt màn hình, trích xuất dữ liệu vị trí GPS từ các ảnh đã lưu trữ, nghe lén các cuộc đàm thoại hai chiều ngay cả khi đang chụp ảnh và quay video, tắt âm thanh camera nên nạn nhân không thể phát hiện khi bị chụp ảnh, truyền các ảnh và video cũ đã được lưu trữ trên thẻ nhớ microSD.

Ứng dụng Máy ảnh của Google đã được sửa hồi tháng 7-2019

Checkmarx đã tiết lộ lỗ hổng này với Google hôm 4-7 vừa qua và vào ngày 23-7, Google đã nâng xếp hạng lỗ hổng này lên mức Cao. Đến ngày 1-8, Google tiếp tục xác định lỗ hổng này có ảnh hưởng đến ứng dụng Máy ảnh trên thiết bị Android của các hãng khác và đặt tên cho nó là CVE-2019-2234. Sau đó trong tháng 8, đến lượt Samsung thừa nhận ứng dụng Máy ảnh của hãng cũng bị ảnh hưởng.

Google cho biết, hãng đã ngay lập tức sửa lỗ hổng này từ hồi tháng 7-2019 qua một bản cập nhật trên chợ ứng dụng Google Play Store và một bản vá lỗi cũng đã được cung cấp cho các hãng sản xuất điện thoại khác. Tất cả người dùng thiết bị Android được khuyên nên nâng cấp lên phiên bản hệ điều hành Android mới nhất và đảm bảo rằng đang sử dụng ứng dụng Máy ảnh mới nhất trên thiết bị của mình.

KHÔI MINH (Theo Bleeping Computer)