# GÓC CÔNG NGHỆ > Tin tức công nghệ > Thảo luận | Đánh giá > Bảo mật & Lỗi bảo mật >  Lỗ hổng bảo mật nghiêm trọng đe dọa 82% máy Android

## kyniemhoctro

*Hàng triệu người dùng phiên bản Android cũ có thể sẽ chịu ảnh hưởng từ một lỗ hổng nằm trong thiết kế phần mềm của chính Google.*

Công ty bảo mật _Bluebox Labs_ cho biết lỗ hổng có tên Fake ID cho phép ứng dụng độc hại có thể giả danh các ứng dụng "_chính hãng_" từ các nhà phát triển đáng tin cậy. Ngay sau khi thông tin về _Fake ID_ xuất hiện, Google đưa ra tuyên bố đã vá lỗ hổng này từ tháng 4 vừa qua.
Do bản vá của Google được thực hiện trên 4.4 KitKat, tất cả những người dùng sử dụng các phiên bản từ 2.1 đến 4.4 (_cập nhật trước tháng 4_) sẽ bị _Fake ID_ đe dọa. Tuy nhiên, điều này cũng có nghĩa rằng có tới hơn 82% người dùng Android vẫn bị Fake ID đe dọa.
Trong bài viết blog về lỗ hổng này, Bluebox cho biết lỗ hổng đến từ chính thiết kế bảo mật trên Android: mỗi ứng dụng sẽ được cung cấp một _"chữ ký mã hóa"_ riêng. Chữ ký này sẽ cho phép người dùng quyết định các quyền hạn của ứng dụng trên thiết bị Android.
Để được cung cấp chữ ký mã hóa cần thiết, các ứng dụng sẽ cần tới các _certificate_ _(chứng thực)_ danh tính vốn được cấp phát bởi các đơn vị đáng tin tưởng (_ví dụ như Google_). Điều này sẽ đảm bảo rằng ứng dụng đang được bảo vệ và quản lý bởi một tổ chức đáng tin cậy.

Cụ thể hơn, sẽ có 2 loại chứng thực được sử dụng: chứng thực cha (_parent certificate_) và chứng thực con (_child certificate_). Thông thường, chứng thực cha sẽ được các nhà phát triển ứng dụng phát hành. Trong quá trình cài đặt, 2 chứng thực này sẽ được so sánh với nhau để quyết định xem ứng dụng mà bạn sử dụng có đáng tin cậy hay không.
Về lý thuyết, cơ chế bảo vệ này khá an toàn, song theo tuyên bố của _Bluebox Labs,_ toàn bộ cơ chế chữ ký này đã bị vượt qua. Lý do là bởi Android chưa có một hệ thống quản lý chữ ký hợp lý, có đủ các khâu kiểm tra cần thiết. "_Nói cách khác, một mã định danh có thể giả mạo là một mã định danh khác, và mã hóa Android sẽ không kiểm tra các certificate nữa_", đại diện _Bluebox Labs_ nhận định.
Trong trường hợp một số chữ ký số được cung cấp các quyền cụ thể, vấn đề sẽ càng trở nên trầm trọng. Ví dụ, ứng dụng có chứng thực cha từ _Adobe Systems_ có thể khởi động một plugin nền web để mở mã HTML trong các ứng dụng khác. Trong trường hợp này, hacker có thể tạo ra một chứng thực có vẻ như đã được phát hành bởi Adobe và xác thực cho chứng thực cha của một ứng dụng chứa mã độc. Ứng dụng chứa mã độc sẽ có tất cả các quyền được cung cấp cho phần mềm của Adobe.

Từ đây, hacker có thể mở plug web từ một ứng dụng độc và đưa chúng lên điện thoại Android của người dùng. Nguy hiểm hơn, kẻ xấu có thể sử dụng chữ ký NFC để được cấp quyền dành riêng cho _Google Wallet_. Bằng cách này, thông tin tài chính của người dùng sẽ bị ảnh hưởng.
"_Vấn đề trở nên nguy hiểm do rất nhiều đối tượng xấu có thể cấp quyền cho ứng dụng Android. Hacker có thể tạo ra một ứng dụng độc với rất nhiều bản ghi giả và có nhiều cơ hội đánh cắp dữ liệu hơn từ các chữ ký được mã hóa_", _Bluebox Labs_ cho biết.
Đại diện chính thức của Google cho biết sau khi _Bluebox Labs_ công bố thông tin này, Google đang gấp rút phát hành bản vá tới tất cả các đối tác Android và cả dự án _Android Open Source Project._
"_Google Play và Verify Apps cũng đã được tăng cường để bảo vệ người dùng khỏi vấn nạn này. Tại thời điểm hiện tại, chúng tôi đã quét tất cả các ứng dụng được đưa lên Google Play và chưa thấy dấu hiệu lợi dụng lỗ hổng này_", Google khẳng định.

----------

