Chia sẻ trong một báo cáo gần đây, nhà phân tích Dimitrios Valsamaras thuộc nhóm Microsoft Threat Intelligence cho biết lỗ hổng Dirty Stream cho phép kẻ tấn công có thể thực thi mã tùy ý, đánh cắp token... Đồng thời kiểm soát hoàn toàn hành vi của ứng dụng, tận dụng các tokens bị đánh cắp để truy cập trái phép vào tài khoản trực tuyến và dữ liệu khác của nạn nhân.
Hai trong số các ứng dụng Android phổ biến bị dính lỗ hổng Dirty Stream, bao gồm:
- Xiaomi File Manager (com.mi. Android.globalFileexplorer) - Hơn 1 tỉ lượt cài đặt
- WPS Office (cn.wps.moffice_eng) - Hơn 500 triệu lượt cài đặt
Mặc dù Android thực hiện cách ly bằng cách chỉ định cho mỗi ứng dụng không gian bộ nhớ và dữ liệu chuyên dụng, nhưng nó cung cấp cái gọi là content provider (nhà cung cấp nội dung) để tạo điều kiện chia sẻ dữ liệu và tệp giữa các ứng dụng một cách an toàn. Tuy nhiên, việc giám sát quá trình thực hiện có thể cho phép bỏ qua các hạn chế đọc/ghi trong thư mục chính của ứng dụng.
Valsamaras cho biết: “Mô hình dựa trên nhà cung cấp nội dung này cung cấp cơ chế chia sẻ tệp được xác định rõ ràng, cho phép ứng dụng phục vụ chia sẻ tệp của nó với các ứng dụng khác một cách an toàn.
Tuy nhiên, chúng tôi thường xuyên phát hiện các ứng dụng tiêu thụ không xác thực nội dung của tệp mà nó nhận được, và điều đáng lo ngại nhất là nó sử dụng tên tệp do ứng dụng phục vụ cung cấp để lưu vào bộ đệm.”
Các kịch bản tấn công khác nhau lợi dụng lỗ hổng Dirty Stream. Ảnh: Microsoft
Việc này có thể gây ra hậu quả nghiêm trọng. Nói cách khác, kẻ tấn công có thể lợi dụng việc ứng dụng tiêu thụ tin tưởng một cách mù quáng vào dữ liệu đầu vào để ghi đè tệp tin, thực thi mã tùy ý, đánh cắp thông tin nhạy cảm.
Sau khi vấn đề được báo cáo, cả Xiaomi và WPS Office đều đã khắc phục sự cố từ tháng 2-2024. Tuy nhiên, Microsoft cho biết lỗ hổng Dirty Stream có thể phổ biến hơn, và yêu cầu các nhà phát triển phải kiểm tra ứng dụng Android của họ để phát hiện các sự cố tương tự.
Google cũng đã công bố hướng dẫn riêng về vấn đề này, kêu gọi các nhà phát triển xử lý đúng cách tên tệp do máy chủ ứng dụng cung cấp.
Nếu đang sử dụng 2 ứng dụng Android kể trên, người dùng nên cập nhật chúng lên phiên bản mới nhất thông qua Google Play, đồng thời không cài đặt từ các file APK bên ngoài để hạn chế rủi ro.