Theo nghiên cứu mới từ Check Point Research (CPR) cho biết họ đã phát hiện ra vấn đề bắt nguồn từ cách các nhà phát triển sử dụng sai dịch vụ đám mây của bên thứ ba. Công ty đã công bố một báo cáo tiết lộ các ví dụ cụ thể về các ứng dụng dễ bị tấn công, bao gồm chiêm tinh học, taxi, ghi màn hình và ứng dụng fax dành cho thiết bị di động. CPR cũng tìm thấy dữ liệu nhạy cảm có sẵn công khai từ cơ sở dữ liệu thời gian thực được kết nối với một số ứng dụng Android đã thu được từ 10.000 đến 10 triệu lượt cài đặt. Dữ liệu cá nhân bao gồm email, tin nhắn trò chuyện, mật khẩu và ảnh… Ngoài ra CPR cũng tìm thấy thông báo đẩy và khóa lưu trữ đám mây được nhúng trong nhiều ứng dụng Android.
Có ba ứng dụng được liệt kê làm rò rỉ dữ liệu cá nhân người dùng.
CPR giải thích trong một email về vấn đề này rằng “Cơ sở dữ liệu thời gian thực là cơ sở dữ liệu hoạt động dựa trên dữ liệu trực tiếp và liên tục thay đổi, chứ không phải dữ liệu liên tục được lưu trữ trên đĩa. Các nhà phát triển ứng dụng phụ thuộc vào cơ sở dữ liệu thời gian thực để lưu trữ dữ liệu trên đám mây… Nếu một kẻ xấu có quyền truy cập vào dữ liệu nhạy cảm được trích xuất bởi CPR, nó có khả năng dẫn đến gian lận, đánh cắp danh tính và dịch vụ đang cố gắng sử dụng cùng một tổ hợp tên người dùng-mật khẩu trên các dịch vụ khác”.
Như những gì mô tả, với việc các ứng dụng di động đã trở thành một phần phổ biến trong cuộc sống của chúng ta, không chỉ bản thân các ứng dụng cần được bảo mật. Các nhà phát triển cũng cần ngừng xem xét khía cạnh bảo mật liên quan đến các dịch vụ và gói ứng dụng di động, chẳng hạn như lưu trữ dựa trên đám mây, cơ sở dữ liệu thời gian thực, phân tích và quản lý thông báo.
Ví dụ về các ứng dụng Android được CPR trích dẫn trong báo cáo mới này là Astro Guru, T'Leva và Logo Maker. T'Leva là một ứng dụng taxi nhận được 50.000 lượt tải xuống, trong khi hai ứng dụng Astro Guru (ứng dụng chiêm tinh) và Logo Maker (ứng dụng thiết kế đồ họa) đạt 10 triệu lượt tải xuống.
Có những ứng dụng đã được tải về hàng triệu lần.
Về dữ liệu CPR tìm thấy được trích xuất từ mỗi ứng dụng, báo cáo đã xác định những điều sau từ mỗi ứng dụng:
- Astro Guru: tên, ngày sinh, giới tính, vị trí, email và chi tiết thanh toán.
- T'Leva: tin nhắn trò chuyện giữa tài xế và hành khách, truy xuất tên đầy đủ, số điện thoại và vị trí của người dùng (điểm đến và điểm đón).
- Logo Maker: email, mật khẩu, tên người dùng, tên người dùng.
Giám đốc phần mềm về di động của CPR, Aviran Hazum, cho biết “Hầu hết các ứng dụng mà chúng tôi đã xem xét hiện vẫn để lộ dữ liệu. Việc thu thập dữ liệu, đặc biệt là bởi một tác nhân độc hại, là rất nghiêm trọng. Cuối cùng, nạn nhân trở nên dễ bị tấn công bởi nhiều vectơ tấn công khác nhau, chẳng hạn như mạo danh, xác định hành vi trộm cắp, lừa đảo và quẹt dịch vụ. Nghiên cứu mới nhất của chúng tôi làm sáng tỏ một thực tế đáng lo ngại, nơi các nhà phát triển ứng dụng không chỉ đặt dữ liệu của họ mà cả dữ liệu riêng tư của người dùng và đưa họ vào tình trạng nguy hiểm”.
“Bằng cách không tuân theo các phương pháp hay nhất khi định cấu hình và tích hợp các dịch vụ đám mây của bên thứ ba vào các ứng dụng, hàng chục triệu dữ liệu riêng tư của người dùng đã bị lộ. Việc định cấu hình sai cơ sở dữ liệu thời gian thực này không phải là mới, nhưng chúng tôi ngạc nhiên là phạm vi của vấn đề vẫn còn quá rộng và ảnh hưởng đến hàng triệu người dùng. Tất cả những gì các nhà nghiên cứu của chúng tôi phải làm là cố gắng truy cập dữ liệu. Không có gì để ngăn chặn truy cập trái phép được xử lý”, ông Hazum nói thêm.
Đăng nhận xét