76 ứng dụng iOS phơi bày dữ liệu cho tin tặc

02:01, Thứ Năm, 09/02/2017 (GMT+7)

(XHTT) - 76 ứng dụng phổ biến trên Apple App Store dễ dàng bị tấn công vào Tầng bảo mật truyền tải được dùng bảo vệ dữ liệu do hệ thống xử lý giao diện mã hóa vô cùng lỏng lẻo.

Theo nhà nghiên cứu Will Strafach, người đã có bài viết trên diễn đàn Medium của Mỹ, những ứng dụng dễ bị tấn công dạng man-in-the-middle (kẻ tấn công ở đây là người trung gian, đứng giữa, giả mạo). Dữ liệu thường được bảo vệ bởi Tầng bảo mật truyền tải (Transport Layer Security – TLS) có thể được đọc và bị can thiệp từ bên ngoài trước khi nó được chuyển tiếp đến các máy chủ của công ty.

Các ứng dụng được đề cập trên diễn đàn Medium có thể bị lừa vào cung cấp các dữ liệu dưới dạng chưa được mã hóa. Các chuyên gia đã tiến hành thử nghiệm trên một chiếc iPhone chạy hệ điều hành iOS 10 và có một bên được ủy nhiệm cung cấp các chứng chỉ TLS còn hiệu lực.

Về cơ bản, các ứng dụng xử lý không đúng cách, vì việc truyền tải dữ liệu thông thường phải được mã hóa và sẽ chấp nhận một giấy chứng nhận mã hóa với bất cứ ai tiến hành thao tác trên đó. Dường như nhiều người đã không hiểu hết về mã đầu vào trên các ứng dụng, dẫn đến làm hỏng khả năng xác nhận được thiết lập tại chỗ. Thay vì sử dụng giấy chứng nhận của các cơ quan có thẩm quyền và đáng tin cậy, các ứng dụng lại dễ dàng chấp nhận bất cứ chứng nhận nào và đây chính là lỗ hổng khá lớn về bảo mật.

Các nhà nghiên cứu đã sử dụng dịch vụ verify.ly của riêng mình – dịch vụ phân tích ứng dụng di động dựa trên nền tảng web để nghiên cứu các vấn đề. 76 ứng dụng với khoảng 18 triệu lượt tải về được phát hiện đều có thiếu sót về bảo mật và vấn đề này thực sự rất nghiêm trọng.

Trong số 76 ứng dụng thì có khoảng 33 ứng dụng có lỗ hổng bảo mật ở mức rủi ro thấp, 24 ứng dụng ở mức trung bình và 19 ứng dụng ở mức nguy cơ cao với khả năng bị chiếm quyền đăng nhập các dịch vụ tài chính, ngân hàng, y tế …

Các ứng dụng có nguy cơ thấp

Một số ứng dụng có thể dễ dàng bị tấn công nhưng các dữ liệu trong đó dù bị đánh cắp cũng không gây hại cho người dùng, gồm có: ooVoo, VivaVideo, Snap Upload for Snapchat, Uconnect Access, Volify, Uploader Free for Snapchat, Epic!, Mico, Safe Up for Snapchat, Tencent Cloud, Uploader for Snapchat, Safe Up for Snapchat, Tencent Cloud, Uploader for Snapchat, Huawei HiLink, VICE News, Trading 212 Forex & Stocks, CashApp, FreeMyApps, 1000 Friends for, YeeCall Messenger, InstaReports, Loops Live, Privat24, Private Browser, Cheetah Browser, AMAN BANK, FirstBank PR Mobile Banking, vpn free, GiftSage, Vpn One Click Professional, Music tube, AutoLotto: Powerball, MegaMillions Lottery Tickets, Foscam IP Camera Viewer by OWLR for Foscam IP Camera and Code Scanner by ScanLife: QR và Barcode Reader...

Còn lại danh sách các ứng dụng bị tấn công có tỷ lệ rủi ro ở mức trung bình hoặc cao thì vẫn chưa được tiết lộ. Các nhà nghiên cứu cam kết trong khoảng thời gian từ 60 – 90 ngày nữa sau khi tiếp cận được với các “nạn nhân” là các ngân hàng, các trung tâm y tế và các nhà phát triển những ứng dụng nhạy cảm… thì sẽ công bố chính thức.

Trước khi mọi vấn đề được khắc phục, các chuyên gia khuyên rằng người dùng không nên sử dụng các mạng Wifi công cộng, vì đây là một trong những nguyên nhân để tin tặc khai thác các ứng dụng trên thiết bị của bạn. Các công ty cung cấp ứng dụng sẽ bắt tay ngay vào việc vá lỗ hổng bảo mật, trong khi các nhà phát triển cần phải cẩn thận hơn nữa khi chèn các mã liên quan đến hệ thống mạng và làm thay đổi hành vi của ứng dụng.

 

Hoàng Thanh (theo Smedia)

.
.
.
.
.

.
.
.