Vừa qua, Appthority đã cảnh báo rằng có tới 700 ứng dụng trong môi trường di động dành cho doanh nghiệp, bao gồm hơn 170 ứng dụng đang hoạt động trong các app stores chính thức, có thể bị một số phần tử xấu lợi dụng để cài đặt nghe trộm.
Các ứng dụng Android bị ảnh hưởng có thể đã được tải xuống tới 180 triệu lần trên mạng internet, theo công ty này, dựa trên nghiên cứu gần đây của họ.
Tính chất dễ xâm phạm dẫn đến lỗ hổng với số lượng lớn thiết bị, Appthority nói.
phát hiện ra thiết bị bị nghe trộm là công việc của việc các nhà phát triển viết mã nguồn cho các ứng dụng di động sử dụng API Twilio Rest hay SDK, theo Appthority. Điều đó đi ngược lại những thực tiễn tốt nhất mà Twilio đề xuất trong tài liệu riêng của mình, và Twilio đã liên lạc với cộng đồng phát triển, bao gồm cả những người có ứng dụng bị ảnh hưởng, để làm việc về bảo mật tài khoản.
Nhóm phát triển ứng dụng của Appthority lần đầu tiên đã phát hiện lỗ hổng nghe trộm này hồi tháng 4 và thông báo với Twilio về các tài khoản đã bị lộ vào tháng 7.
Lỗ hổng này cho thấy số lượng lớn các dữ liệu nhạy cảm và thậm chí là dữ liệu lịch sử, bao gồm hồ sơ cuộc gọi, số phút thực hiện cuộc gọi trên thiết bị di động và số phút ghi âm cuộc gọi, cũng như nội dung tin nhắn SMS và MMS.
Giảm rủi ro
Cách tiếp cận tốt nhất cho doanh nghiệp là xác định các ứng dụng dễ bị xâm phạm nghe nhìn trong môi trường của nó và xác định xem dữ liệu mà ứng dụng đó có tiềm ẩn rủi ro hay không, Appthority đề xuất.
Seth Hardy, giám đốc Appthority của nghiên cứu về an ninh cho biết: “Không phải tất cả các cuộc hội thoại liên quan đến thông tin bí mật và tính chất sử dụng của ứng dụng trong doanh nghiệp có thể không liên quan đến dữ liệu nhạy cảm hoặc quan tâm.
Ông nói rằng: “Nếu các tin nhắn, nội dung âm thanh hoặc siêu dữ liệu cuộc gọi trở nên nhạy cảm hoặc độc quyền, có thể sẽ không có nhiều chuyện có thể thực hiện được đối với các cuộc trò chuyện phơi bày từ việc sử dụng ứng dụng trước đó.
“Tuy nhiên, rất nhiều điều có thể được thực hiện để bảo vệ sự xâm phạm trong tương lai, bao gồm cả việc xác định địa chỉ và xác nhận sự cố với nhà phát triển hoặc tìm một ứng dụng thay thế có cùng chức năng hoặc tương tự mà không có lỗ hổng nghe trộm”, Hardy nói. “Trong mọi trường hợp, doanh nghiệp cần liên hệ với các nhà phát triển để họ xóa các tệp tin bị lộ.”
Mã hóa cẩu thả
Appthority đã chỉ ra rằng lỗ hổng của trình nghe không bị giới hạn bởi các ứng dụng được tạo ra bằng cách sử dụng API Twilio Rest hay SDK, vì các thông tin xác thực cứng là một lỗi phát triển phổ biến có thể làm tăng nguy cơ bảo mật trong các ứng dụng di động.
Steve Blum, chuyên gia phân tích của Tellus Venture Associates, nói: “Vấn đề cốt lõi là sự lười biếng của người phát triển, vì vậy Appthority được tìm thấy không phải là một vấn đề đặc biệt.
Ông nói: “Đây chỉ là một ví dụ điển hình về những thực tiễn xấu dẫn đến những kết quả tồi tệ, bởi vì nó rất hấp dẫn đối với một người lập trình để thực hiện các phím tắt trong khi phát triển một ứng dụng với mục đích làm sạch mọi thứ một cách chân thành.
“Với các ứng dụng được phát triển bởi một người hoặc một nhóm nhỏ, không có kiểm tra chất lượng thông thường”, Blum nói thêm. “Ngay bây giờ, tùy thuộc vào các cửa hàng – Apple và Android chủ yếu – để thực hiện công việc QC và tôi cho rằng họ đang xem xét vấn đề cụ thể này và có thể sàng lọc kỹ hơn cho các chứng chỉ được mã hóa cứng trong Tương lai.”
Để đảm bảo an toàn và bảo mật trước tiên, có thể cần thiết cho việc viết mã nói chung phải trải qua quá trình chuyển đổi mô hình, ông Roger Entner, nhà phân tích chính tại Recon Analytics đã đề xuất.
Ông nói: “Thật không may, quá nhiều bảo mật được xem như một trung tâm chi phí và sự riêng tư được xem như là công cụ tạo doanh thu cho công ty phát triển ứng dụng.
Entner giải thích: “Vì vậy, các ứng dụng thường không an toàn – và sự riêng tư không tồn tại – để giảm thiểu chi phí và tối đa hoá doanh thu. “Cách duy nhất để chống lại những vi phạm này là phải trả giá đầy đủ cho các ứng dụng mà người tiêu dùng đang sử dụng và từ chối các ứng dụng được quảng cáo hỗ trợ.”
Không dễ sửa
Một trong những sự thật đáng lo ngại nhất về lỗ hổng này là Trình nghe lén không dựa vào jailbreak hoặc root của thiết bị. Nó cũng không lợi dụng các lỗ hổng khác của hệ điều hành đã biết.
Hơn nữa, tính dễ bị xâm phạm không được giải quyết sau khi ứng dụng bị ảnh hưởng đã bị xóa khỏi thiết bị của người dùng. Thay vào đó, dữ liệu của ứng dụng vẫn mở để hiển thị cho đến khi thông tin đăng nhập được cập nhật đúng.
“Không có cách giải quyết nào khác ngoài việc gỡ bỏ cài đặt tất cả các ứng dụng bị ảnh hưởng và hy vọng rằng dữ liệu của bạn vẫn chưa bị xâm nhập”, Paul Teich, nhà phân tích chính của Tirias Research cảnh báo.
Một số người dùng có thể mua điện thoại được tải trước bằng các ứng dụng có thể làm ảnh hưởng đến thông tin cá nhân của họ.
“Twilio có thể buộc các nhà phát triển cập nhật mã ứng dụng của họ bằng cách làm mất hiệu lực hoặc thu hồi tất cả các chứng chỉ truy cập vào các API dịch vụ bị xâm nhập của họ”, Teich nói.
Tuy nhiên, “tác động bất ngờ sẽ là rất nhiều ứng dụng và dịch vụ điện thoại thông minh có giá trị sẽ chỉ ngừng hoạt động cùng một lúc”, ông nói.
Dường như người dùng có ít lựa chọn và người tiêu dùng thậm chí còn có thể nhìn thấy được các ứng dụng bị nghe trộm.
Những người làm việc tại một công ty “có thể yêu cầu đội bảo mật IT của họ liệt kê các ứng dụng được phê duyệt và sau đó xóa các ứng dụng dễ bị xâm phạm và cài đặt các ứng dụng không bị nghe trộm” thay thế, Hardy của Appthority.
“Thách thức lớn là làm thế nào để ngăn chặn dòng thông tin từ sự xâm phạm này trong khi vẫn cung cấp các dịch vụ có giá trị”, Teich nói.
Tình huống này xảy ra không nhỏ bởi vì các nhà phát triển đã cẩu thả. Tuy nhiên, thái độ của người tiêu dùng cũng đóng vai trò quan trọng. Nhiều người thích việc sử dụng dễ dàng hơn đối với bảo mật thiết bị di động.
Recon Analytics “Entner”, “Người tiêu dùng vẫn quá bình thường về sự riêng tư của họ và không phải trả tiền”, thay vào đó có sự riêng tư của họ kiếm tiền và bị tổn hại thông qua các ứng dụng mã hoá có cài đặt mã độc.
(Người viết: internet việt nam)