Lỗ hổng an ninh trong ứng dụng theo dõi trên ĐTDĐ
Những ứng dụng theo dõi cung cấp những công cụ cho phép theo dấu người dùng hợp pháp, như các bậc cha mẹ theo dõi con cái. Tuy nhiên, những ứng dụng theo dõi này lại có những lỗ hổng an ninh dễ phá hủy.
Các nhà gia an ninh công nghệ thông tin đến từ viện Fraunhofer đã phân tích những ứng dụng theo dõi thông thường được phát hành trên Google Play và kết quả là hầu hết những ứng dụng này không bảo mật và có những lỗ hổng an ninh nghiêm trọng. Những kẻ đánh cắp thông tin có thể khai thác những điểm yếu này để thực hiện những hành vi đánh tráo thông tin người dùng, nghe lén những cuộc hội thoại và đọc trộm tin nhắn, hay rò rỉ những hình ảnh của người dùng.
Những ứng dụng nghe lén hay theo dõi cho phép sự giám sát hợp lệ điện thoại thông minh của người dùng. Những ứng dụng này cho phép các bậc cha mẹ định vị con cái của họ, hoặc xem những tin nhắn hay những tấm ảnh đăng trực tuyến. Việc chịu sự theo dõi của những ứng dụng này là hợp pháp phụ thuộc vào quyết định của người dùng.
Những nhà nghiên cứu giới thiệu kết quả nghiên cứu của họ tại Hội nghị Lập trình phần mềm DEF CON tại Las Vegas vào ngày 11-8, cho rằng: những kẻ tấn công không cần phải đánh cắp thông tin của từng người dùng mà chúng có thể đồng thời tấn công hàng triệu thiết bị có cài đặt những ứng dụng theo dõi cùng một lúc.
Các nhà khoa học của viện Fraunhofer phân tích 19 ứng dụng hợp lệ được cho phép phát hành trên Google Play được cài đặt trên hàng triệu thiết bị. Kết quả là tất cả những ứng dụng này đều cho thấy những lỗ hổng an ninh có lợi, hầu hết những ứng dụng đều không được lập trình với tính năng bảo mật mặc định phù hợp. Và các nhà nghiên cứu đã tìm thấy tổng cộng 37 lỗ hổng bảo mật.
Hầu hết những ứng dụng này lưu trữ những dữ liệu nhạy cảm của người dùng nguyên gốc mà không mã hóa. TS. Siegfried Rasthofer cho biết: “Chúng tôi chỉ cần mở một trang web xác định và truy cập bằng một tài khoản vào link URL để lấy lại những thông tin cá nhân đã bị đánh tráo”. Những lỗ hổng an ninh này không chỉ ảnh hưởng đến cá nhân người dùng, mà thay vào đó, các nhà nghiên cứu còn có thể đọc được toàn bộ những thông tin của cá nhân người sử dụng những ứng dụng, và tất cả những thông tin đều không được bảo mật trên máy chủ.
“Với việc này, hàng ngàn người có thể bị theo dõi từng giờ” – TS. Siegfried Rashhofer phát biểu. Những ứng dụng này cho phép những tay hacker lấy những dữ liệu quan trọng, như là ghi nhớ những nơi người dùng hay đến, đọc trộm và phát tán nội dung tin nhắn bao gồm tin nhắn SMS và hình ảnh ghi lại được từ những ứng dụng trên điện thoại của người dùng. Nhà nghiên cứu viện Fraunhofer, thành viên của TeamSIK Stephan Huber cho biết: “Nó cho phép giám sát hoàn toàn người dùng”.
Những nhà khoa học cũng có thể đọc được những thông tin người dùng truy cập. Hầu như tất cả các ứng dụng những mã hóa không hợp pháp hoặc không mã hóa. Nhóm nghiên cứu đã tìm ra 1,7 triệu lượt truy cập được cấp chứng chỉ có hiệu lực được phép truy cập tự do ở duy nhất một ứng dụng. Những nhóm nghiên cứ của viện Fraunhofer và Google Play đã thông báo về ứng dụng cung cấp quyền truy cập này. Trong khi đó, nhóm nghiên cứu của Google Play đã gỡ bỏ 12 trong 19 ứng dụng đã được phân tích từ cửa hàng ứng dụng của họ. Đáng chú ý hơn, những nhà phát triển ứng dụng đã làm ngơ trước những báo cáo về những lỗ hổng an ninh này từ các nhóm nghiên cứu.
Nhã Trúc
