30/06/2015 - 15:22

Tìm lỗi bảo mật trên ứng dụng Android vừa cài

Theo trang công nghệ ArsTechnica, danh sách các ứng dụng (app) hợp pháp trên Google Play mang nguy cơ bảo mật bao gồm cả những ứng dụng có số lần tải về (download) vượt hơn 200 triệu lượt.

 

AppBugs giúp tìm thấy những ứng dụng mắc lỗi bảo mật hoặc có nguy cơ gây hại - Ảnh minh họa: WordPress

Theo trang công nghệ ArsTechnica, danh sách các ứng dụng (app) hợp pháp trên Google Play mang nguy cơ bảo mật bao gồm cả những ứng dụng có số lần tải về (download) vượt hơn 200 triệu lượt.

Các ứng dụng mang nguy cơ bảo mật gồm ứng dụng phổ biến như dịch vụ hẹn hò Match.com, Hiệp hội Bóng rổ Mỹ (NBA), kênh siêu thị Safeway, PizzaHut... Các ứng dụng này không bảo vệ an toàn thông tin người dùng.

Cụ thể, ứng dụng Match.com không mã hóa cổng truyền tải dữ liệu khi gửi mật khẩu tài khoản người dùng đến máy chủ, theo đó ai sử dụng cùng mạng WiFi với họ đều có thể đánh chặn các gói dữ liệu truyền đi, thu thập mật khẩu.

Về phía NBA Game Time, Safeway hay PizzaHut có dùng giao thức mã hóa HTTPS nhưng không áp dụng đúng, nên kẻ tấn công vẫn có thể áp dụng phương thức tấn công-trung gian "man-in-the-middle" (MITM) để lừa đảo chữ ký số đọc thông tin đăng nhập tài khoản của họ.

Những ứng dụng bảo mật "lỏng lẻo" này đã bị AppBugs "chỉ điểm". Đây là một ứng dụng miễn phí do Công ty App Bugs phát hành, chỉ rõ những nguy cơ hay các lỗ hổng bảo mật tồn tại trong những ứng dụng được người dùng cài trên smartphone hay tablet của mình.

* AppBugs tải dùng miễn phí từ Google Play, không quét hay thu thập thông tin người dùng.

Trong video clip mô phỏng tấn công bên dưới, khi người dùng đăng nhập tài khoản League Pass (phí thành viên 199 USD) của họ trong ứng dụng NBA GameTime, máy tính của bên thứ ba có thể nhanh chóng lấy cắp được tên đăng nhập và mật khẩu.

Clip cho thấy hacker có thể dễ dàng lấy được thông tin tài khoản đăng nhập của người dùng trên ứng dụng Android bảo vệ lỏng lẻo - Nguồn: YouTube / AppBugs

Trong tháng 5, các nhà nghiên cứu tại ĐH Cambridge đã phát hiện một lỗ hổng bảo mật có thể tiếp tay cho hacker khôi phục gần như toàn bộ dữ liệu đã xóa trước đó trên thiết bị Android 4.4 trở về trước. Ước tính có khoảng 500 triệu thiết bị Android bị ảnh hưởng.

Tháng 4, các nghiên cứu sinh tại Mỹ đã tìm thấy lỗi trong thư viện mã nguồn giao thức mã hóa HTTPS trong nhiều ứng dụng Android, có lượt tải lên đến 350 triệu. Khoảng 1.500 ứng dụng cho iPhone và iPad cũng mắc phải lỗ hổng bảo mật này.

Phong Vân/Tuổi Trẻ Online

Chia sẻ bài viết