Tin bảo mật mới nhất ghi nhận một ứng dụng hệ thống ẩn được cài sẵn trên điện thoại Motorola có hành vi chặn thao tác mở ứng dụng Amazon và chuyển hướng lặng lẽ qua URL theo dõi tiếp thị liên kết. Vấn đề này đặt ra rủi ro bảo mật liên quan đến tính toàn vẹn chuỗi cung ứng phần mềm, quyền đồng ý của người dùng và cách một ứng dụng hệ thống có thể can thiệp vào luồng mở ứng dụng.
Ứng Dụng Hệ Thống Ẩn Can Thiệp Vào Lệnh Mở Amazon
Phát hiện ban đầu đến từ một người dùng Motorola Razr 60 Ultra trên Reddit, khi nhận thấy thao tác chạm vào biểu tượng Amazon không còn mở trực tiếp ứng dụng. Thay vào đó, thiết bị khởi chạy một phiên trình duyệt tới một URL lạ, rồi chuyển tiếp sang Amazon.com kèm mã affiliate nhúng sẵn.
Hành vi này cho thấy một lỗ hổng bảo mật ở cấp độ triển khai phần mềm cài sẵn, dù không phải là lỗ hổng CVE theo định danh công khai. Điểm đáng chú ý là thao tác chuyển hướng diễn ra ở tầng hệ thống, khiến người dùng khó nhận biết quá trình trung gian.
Smart Feed Là Thành Phần Gây Ra Hành Vi
Phân tích lưu lượng mạng xác định một ứng dụng hệ thống ẩn có tên Smart Feed là thành phần chịu trách nhiệm. Ứng dụng này gửi yêu cầu ra ngoài tới miền devicenative[.]com, một máy chủ bên ngoài dường như cung cấp cấu hình ứng dụng mục tiêu và mã affiliate.
Trong mô hình này, Smart Feed không chỉ là một thành phần hiển thị nội dung, mà còn đóng vai trò trung gian chèn logic chuyển hướng vào intent của ứng dụng shopping. Điều đó biến một thao tác hợp lệ của người dùng thành một chuỗi chuyển hướng do phần mềm kiểm soát.
Luồng Chuyển Hướng Và Cách Hoạt Động
Khi người dùng chạm vào biểu tượng ứng dụng mua sắm trong launcher, Smart Feed chặn intent gốc và thay thế bằng một chuyển hướng trình duyệt mang theo payload kiếm tiền. Nếu không có cấu hình đặc biệt, hành vi này có thể diễn ra hoàn toàn âm thầm.
Cụ thể, chuyển hướng sẽ khó bị phát hiện nếu người dùng chưa tắt tùy chọn Open links in app by default. Đây là cấu hình mặc định mà phần lớn người dùng không thay đổi, làm cho cơ chế điều hướng qua trình duyệt trở nên ít lộ diện hơn.
Chuỗi Hành Vi Kỹ Thuật
- Người dùng chạm vào biểu tượng ứng dụng Amazon.
- Smart Feed intercept intent của ứng dụng.
- Thiết bị mở một phiên trình duyệt thay vì mở app trực tiếp.
- Trình duyệt truy cập URL trung gian có mã affiliate.
- Yêu cầu được chuyển tiếp tới Amazon.com.
Phân Tích Rủi Ro Bảo Mật Và Mô Hình Mối Đe Dọa
Về mặt an ninh mạng, hành vi này có đặc điểm gần với adware và các kỹ thuật thường gặp ở banking trojan, gồm hijacking intent, duy trì hiện diện ở cấp hệ thống và liên lạc với máy chủ ngoài theo kiểu C2-style để cấu hình động. Vì ứng dụng được ẩn trong hệ thống, người dùng khó phát hiện hoặc gỡ bỏ.
Đây là một dạng rủi ro an toàn thông tin vì chức năng của ứng dụng có thể thay đổi hoàn toàn từ phía máy chủ mà không cần firmware update. Nói cách khác, cùng một ứng dụng có thể hôm nay chỉ chèn mã tiếp thị, nhưng sau này có thể bị cập nhật để thay đổi đích chuyển hướng.
Từ góc nhìn threat modeling, kiến trúc này có thể bị lạm dụng để đưa người dùng tới trang phishing hoặc trang thu thập thông tin xác thực. Cách tiếp cận đó làm tăng nguy cơ hệ thống bị xâm nhập ở tầng người dùng cuối, dù hiện tại bằng chứng được ghi nhận vẫn tập trung vào chuyển hướng affiliate.
IOC Liên Quan
- Smart Feed — Ứng dụng hệ thống ẩn cài sẵn trên thiết bị Motorola.
- devicenative[.]com — Miền ngoài được dùng để lấy cấu hình và mã affiliate.
- Amazon app redirect — Luồng chuyển hướng từ intent ứng dụng sang trình duyệt.
Ảnh Hưởng Hệ Thống Đã Ghi Nhận
Hành vi này được xác nhận trên Motorola Razr 60 Ultra, một thiết bị flagship có giá bán khoảng 1.300 USD. Hiện chưa rõ cơ chế này có xuất hiện trên các mẫu Motorola khác hoặc biến thể theo khu vực hay không.
Vì là ứng dụng hệ thống ẩn, người dùng không dễ nhận ra dấu hiệu bất thường thông qua giao diện thông thường. Điều đó làm giảm khả năng phát hiện tấn công bằng quan sát thủ công, đặc biệt khi lưu lượng được chuyển sang luồng duyệt web hợp lệ.
Miền devicenative[.]com gợi ý khả năng tồn tại của một SDK bên thứ ba hoặc đối tác tiếp thị liên kết, thay vì logic được triển khai trực tiếp bởi nhà sản xuất. Tuy nhiên, việc xác định bên nào viết mã không làm thay đổi rủi ro bảo mật từ việc phần mềm cài sẵn can thiệp vào hành vi người dùng.
Liên Hệ Với Nguồn Gốc Báo Cáo Và Tài Liệu Đối Chiếu
Thông tin ban đầu được công bố rộng rãi qua báo cáo ngày 25/05/2026 từ 9to5Google. Để đối chiếu quy trình xử lý lỗ hổng và theo dõi cảnh báo liên quan đến phần mềm di động, có thể tham khảo thêm các nguồn chính thống như NVD – National Vulnerability Database.
Trong trường hợp này, nội dung được ghi nhận chưa cho thấy một CVE nghiêm trọng đã được công bố, nhưng mô hình hành vi vẫn là một cảnh báo đáng chú ý về lỗ hổng CVE theo nghĩa rộng của hệ sinh thái thiết bị cài sẵn: ứng dụng hệ thống có thể thay đổi luồng thao tác người dùng, duy trì quyền hiện diện và liên lạc với máy chủ bên ngoài mà không cần cập nhật firmware.
Với môi trường an toàn thông tin trên thiết bị Android cao cấp, điểm cần theo dõi là tính minh bạch của app cài sẵn, quyền kiểm soát intent, và việc cập nhật bản vá hoặc thay đổi cấu hình từ xa có thể làm biến đổi hành vi phần mềm mà người dùng không biết trước.
