Công ty Bảo mật Positive Technologies vừa kiểm tra các ứng dụng di động khác nhau của hai nhà cung cấp lớn nhất là Apple và Google, đã phát hiện nhiều lỗ hổng bảo mật. Ðiều này dấy lên những lo ngại đối với người dùng khi cuộc sống của họ hàng ngày đang lệ thuộc rất nhiều vào hai “ông lớn” này.
Ứng dụng di động được hiểu là các ứng dụng khách hàng được cài đặt trên điện thoại thông minh hay máy tính bảng của mình. Đây là những gì người dùng tương tác để mua hàng, thanh toán hóa đơn, đọc email, nhắn tin...
Hầu hết các ứng dụng di động có kiến trúc máy chủ và máy khách. Trong khi máy khách chạy trên hệ điều hành, chủ yếu nhất là Android và iOS thì máy chủ cung cấp dịch vụ. Ứng dụng máy khách được tải xuống thiết bị từ các nền tảng phân phối ứng dụng, trong đó nhà phát triển xuất bản sản phẩm của họ và cung cấp trên các kho ứng dụng.
► Báo cáo tóm tắt từ Positive Technologies
- Các lỗ hổng rủi ro cao đã được tìm thấy trong 38% ứng dụng di động cho iOS và 43% ứng dụng Android. Hầu hết các vấn đề bảo mật được tìm thấy trên cả hai nền tảng. Lưu trữ dữ liệu không an toàn là vấn đề phổ biến nhất, được tìm thấy trong 76% ứng dụng di động.
- Mật khẩu, thông tin tài chính, dữ liệu cá nhân và thư từ có nguy cơ cao.
- Tin tặc hiếm khi cần truy cập vật lý vào điện thoại thông minh để đánh cắp dữ liệu: 89% lỗ hổng có thể bị khai thác bằng phần mềm độc hại.
- Hầu hết các trường hợp được gây ra bởi sự yếu kém trong các cơ chế bảo mật (lần lượt là 74% và 57% cho các ứng dụng iOS và Android và 42% cho các thành phần phía máy chủ). Các lỗ hổng hầu hết xuất hiện trong giai đoạn thiết kế, việc sửa chúng khó khăn vì đòi hỏi phải thay đổi đáng kể về mã.
- Rủi ro không nhất thiết là do bất kỳ một lỗ hổng cụ thể nào ở phía máy khách hoặc máy chủ. Trong nhiều trường hợp, chúng là sản phẩm của một số thiếu sót dường như nhỏ trong các phần khác nhau của ứng dụng di động. Khi được kết hợp với nhau, những thiếu sót nhỏ này có thể gây ra hậu quả nghiêm trọng, bao gồm tổn thất tài chính cho người dùng và thiệt hại uy tín cho nhà phát triển.
- Nhiều cuộc tấn công mạng dựa vào sự vô ý của người dùng. Sự leo thang đặc quyền hoặc phần mềm độc hại được tải có thể mở đường cho một cuộc tấn công gây thiệt hại.
► Người dùng cần làm gì?
Những thông tin từ báo cáo thật sự là điều đáng sợ. Nó đáng sợ vì không có cách khắc phục dễ dàng. Trong khi hai kho ứng dụng của Apple và Google có lượng người dùng rất lớn.
Vì vậy, thay vì chờ đợi sự bảo vệ từ nhà cung cấp, người dùng trước hết phải tự bảo vệ. Trong phần lỗ hổng phía máy khách, nhóm nghiên cứu chỉ ra rằng vấn đề phổ biến nhất với các ứng dụng di động là lưu trữ dữ liệu không an toàn. Kịch bản phổ biến nhất là nhiễm phần mềm độc hại. Cơ hội lây nhiễm tăng theo cấp số nhân trên các thiết bị có quyền quản trị viên (root hoặc jailbreak). Do đó, để tránh các trường hợp bị xâm nhập, người dùng cần biết những dữ liệu nào là nhạy cảm thì phải lưu trữ ở nơi an toàn, được bảo vệ bằng mật khẩu nhiều lớp. Tránh tải những phần mềm hoặc các tập tin không rõ nguồn gốc, xuất xứ…
Theo mặc định, trong cơ chế bảo mật của hệ thống, một ứng dụng đã cài đặt chỉ có thể truy cập các tập trong thư mục “hộp cát” của chính nó và quyền người dùng không cho phép chỉnh sửa tập tin hệ thống. Tuy nhiên, lỗi do các nhà phát triển trong việc thiết kế và viết mã cho các ứng dụng di động gây ra lỗ hổng trong bảo vệ và có thể bị lạm dụng xâm nhập hệ thống. Do đó, nếu một ứng cài đặt mà có những yêu cầu đòi hỏi quá mức, như đòi hỏi cấp quyền quản trị, được phép truy cập vào danh bạ, thư viện hình ảnh, tin nhắn, sử dụng camera, micro, tải tập tin… thì hết sức cẩn thận khi cấp phép. Rất nhiều ứng dụng hiện nay đòi hỏi những thứ không liên quan đến chức năng, nhiệm vụ, nhưng nếu người dùng dễ giải, các ứng dụng cài đặt có thể thoát khỏi “hộp cát” bằng quyền quản trị, tạo điều kiện tin tặc xâm nhập hệ thống, khai thác thông tin và dữ liệu trên thiết bị dễ dàng.
Điện thoại di động đang tạo nên những thay đổi lớn đến cuộc sống con người, ứng dụng di động đã hỗ trợ rất nhiều trong công việc hàng ngày, các kho ứng dụng từ đó cũng trở thành mảnh đất màu mỡ để tin tặc các nhà phát triển ứng dụng không chân chính bám vào. Đó là lý do tại sao bạn không nên tin vào bất kỳ ứng dụng được mời chào từ các kho của Apple hay Google trước khi xem xét kỹ lưỡng.
Hoàng Thy (Theo Computer World)