Google Play Core Library chứa lỗ hổng nguy hiểm
Cửa hàng ứng dụng của Android có thể dễ dàng bị tấn công khai thác bảo mật từ các lỗ hổng lõi thư viện.
Google luôn quảng cáo Google Play Store không chỉ là cửa hàng ứng dụng Android mà còn là nguồn ứng dụng đáng tin cậy và an toàn. Nhưng phía sau nó vẫn còn nhiều mã bị khai thác và tấn công. Mặc dù Google đã vá một lỗ hổng bảo mật gần đây trong Google Play Core Library, nhưng các nhà phát triển ứng dụng lại không thực hiện tròn trách nhiệm của mình và khiến ứng dụng của chính họ và người dùng gặp rủi ro.
Google Play Core Library là một trong những thành phần cơ bản nhất của các dịch vụ di động của Google mà ứng dụng Android, có thể giúp nhà phát triển và người dùng dễ dàng hơn trong trải nghiệm. Nó cung cấp các chức năng như tải xuống ngôn ngữ, nội dung hoặc tính năng bổ sung mà không cần phải cập nhật ứng dụng từ Google Play Store. Khá nhiều ứng dụng Android trong Play Store sử dụng các chức năng này, làm cho Play Core Library trở thành một phần quan trọng của bất kỳ ứng dụng Android nào.
Nhiều ứng dụng trên Google Play Store chưa cập nhật Play Core Library
Một lỗ hổng nghiêm trọng trong Play Core Library đã lợi dụng chức năng đó để khiến thư viện thực thi mã độc. Check Point Research đã phân tích chi tiết về cách thức hoạt động của việc khai thác và nó là một lỗ hổng khá đáng sợ nếu không được khắc phục. Google đã vá Play Core Library vào tháng 4.2019 trước khi lỗ hổng bảo mật được tiết lộ công khai vào tháng 8 năm nay.
Tuy nhiên các nhà nghiên cứu bảo mật cảnh báo các nhà phát triển ứng dụng vẫn chưa cập nhật lên phiên bản mới nhất của Play Core Library của Google Play. Không giống như các bản sửa lỗi phía máy chủ mà Google thực hiện tất cả thao tác, loại bản sửa lỗi này phải được các nhà phát triển ứng dụng áp dụng bằng cách cập nhật ứng dụng của họ để sử dụng phiên bản cố định của thư viện. Hiện có 13% số ứng dụng trên Play Store chưa thực hiện bản cập nhật quan trọng này.
Điều này có nghĩa là các ứng dụng và người dùng này vẫn dễ bị tấn công bởi lỗ hổng bảo mật mà các chuyên gia bảo mật cũng như tin tặc đã biết. Trong khi một số nhà phát triển đã cập nhật ứng dụng của họ, một số ứng dụng phổ biến như Microsoft Edge, Moovit và Cyberlink PowerDirector thì vẫn chưa.
Minh Anh (T/h)