Nhiều ứng dụng bị ảnh hưởng bởi lỗ hổng xử lý GIF được WhatsApp vá gần đây

Các nhà nghiên cứu an ninh Trend Micro đã phát hiện ra hàng ngàn ứng dụng của Android bị ảnh hưởng bởi lỗ hổng xử lý GIF được vá gần đây bởi WhatsApp.

whatsapp.jpg https://static.independent.co.uk/s3fs-public/thumbnails/image/2018/12/04/19/whatsapp.jpg

Lỗ hổng CVE-2019-11932 tồn tại trong thư viện nguồn mở libpl_droidsonroids_gif.so, là một phần của gói android-gif-drawable và được sử dụng bởi phần lớn các ứng dụng Android khi xử lý tệp GIF.

WhatsApp trên Android là một trong các ứng dụng bị ảnh hưởng, Facebook đã vá lỗ hổng gần đây bằng việc phát hành phiên bản 2.19.244. Tuy nhiên, rất nhiều ứng dụng khác vẫn sử dụng phiên bản có lỗ hổng này.

Để khai thác lỗ hổng này trên WhatsApp, kẻ tấn công phải gửi một tệp GIF độc hại cho người dùng. Việc này sẽ tự động kích hoạt lỗi bảo mật ngay khi ứng dụng tạo bản xem trước cho tệp trong WhatsApp Gallery.

Tuy nhiên, việc khai thác này đòi hỏi kẻ tấn công phải nằm trong danh sách liên lạc của nạn nhân, nếu không GIF độc hại sẽ không được tự động tải xuống.

Kẻ tấn công có thể leo thang đặc quyền và chiếm quyền truy cập vào tệp trên thiết bị nạn nhân, bao gồm cả tin nhắn WhatsApp. Chúng cũng có thể tạo ra một remote shell trong ứng dụng WhatsApp.

Tuy nhiên, để thực thi mã từ xa, kẻ tấn công cần tận dụng một lỗ hổng khác hoặc một ứng dụng độc hại đã được cài đặt sẵn trên thiết bị.

Lỗ hổng bảo mật được vá trong libpl_droidsonroids_gif.so gần hai tháng trước, nhưng nhiều nhà phát triển vẫn chưa cập nhật các gói của họ để sử dụng phép lặp được vá.

Theo Trend Micro, có hơn 3.000 ứng dụng trên Google Play sử dụng thư viện này, khiến người dùng gặp nhiều rủi ro.

Theo báo cáo của công ty, chỉ riêng với Google Play đã có hơn 3.000 ứng dụng có lỗ hổng này. Họ cũng tìm ra rất nhiều ứng dụng tương tự khác được lưu trữ trên các App Store của bên thứ ba như 1mobile, 9Apps, 91 market, APKPure, Aptoide, 360 Market, PP Assistant, QQ Market, and Xiaomi Market.

Họ đã tự kiểm tra một số ứng dụng được phát hiện, xác nhận sự xuất hiện của phiên bản cũ dễ bị tấn công libpl_droidsonroids_gif.so.

Các nhà nghiên cứu kết luận rằng, nếu người dùng lỡ tải ứng dụng bị ảnh hưởng, thì kẻ tấn công có thể khai thác lỗ hổng và giành quyền kiểm soát thiết bị người dùng. Do vậy, các nhà phát triển nên nâng cấp libpl_droidsonroids_gif.so nhằm giảm thiểu rủi ro cho người dùng.

Nguồn WhiteHat