76 ứng dụng iOS làm lộ thông tin người dùng

iPhone được đánh giá là smartphone có khả năng bảo mật cao hơn so với các đối thủ, nhưng điều đó không có nghĩa là các ứng dụng chạy trên iPhone an toàn. Một chuyên gia an ninh mạng đã phát hiện ra lỗ hổng trong 76 ứng dụng trên AppStore có thể giúp tin tặc đánh cắp thông tin của người dùng iPhone.

Trang tin BGR cho biết chuyên gia Will Strafach đã sử dụng dịch vụ kiểm tra độ bảo mật ứng dụng do ông thiết lập tại địa chỉ verify.ly. Ông đã phát hiện 76 ứng dụng trên AppStore với hơn 18 triệu lượt tải về có tồn tại lỗ hổng nguy hiểm.

Lỗ hổng này bắt nguồn từ một tính năng mà Apple đã đưa vào iOS 9. Tính năng này có tên gọi là App Transport Security (ATS). Nó có nhiệm vụ bảo vệ an toàn việc truyền dữ liệu qua giao thức HTTPS. Nhưng một đoạn mã bị cấu hình sai nằm trong ứng dụng iOS có thể đánh lừa ATS khiến nó nghĩ việc kết nối là an toàn. Tin tặc với hiểu biết về lỗ hổng này có thể đánh cắp dữ liệu trong iPhone qua kết nối Wi-Fi.

Chuyên gia Will Strafach đã chia 76 ứng dụng thành 3 loại: nguy cơ thấp (33 ứng dụng), nguy cơ trung bình (24 ứng dụng) và nguy cơ cao (19 ứng dụng).

Một ứng dụng nguy cơ cao có thể làm lộ tài khoản đăng nhập vào dịch vụ tài chính và y tế của người sử dụng. Còn ứng dụng nguy cơ thấp sẽ rò rỉ một phần dữ liệu nhạy cảm của thiết bị, bao gồm địa chỉ email và tài khoản đăng nhập.

Strafach đã liệt kê tên của 33 ứng dụng có nguy cơ thấp, trong đó có một ứng dụng quen thuộc là Snapchat. Lỗ hổng trong tính năng Snap Upload có thể cung cấp cho tin tặc tên và mật khẩu đăng nhập Snapchat. Danh sách 33 ứng dụng có thể xem tại đây .

Những ứng dụng có nguy cơ trung bình và nguy cơ cao đã không được Strafach tiết lộ vào thời điểm này. Thay vào đó ông đã liên hệ với "ngân hàng, các hãng cung cấp dịch vụ y tế và các nhà phát triển ứng dụng" để thông báo cho họ về lỗ hổng và giúp họ khắc phục.

Lỗ hổng tương tự đã từng ảnh hưởng đến PayPal vào năm 2010 và Experian vào năm 2016.

Tất nhiên khai thác được điểm yếu này không phải là một chuyện đơn giản. Tin tặc cần có kiến thức về lỗ hổng bảo mật, có những "đồ nghề" đặc biệt, và phải tiếp cận được ở khoảng cách gần với thiết bị vừa mới cài đặt ứng dụng có lỗ hổng.

Strafach khuyến cáo mọi người không nên kết nối vào những mạng Wi-Fi lạ để thực hiện giao dịch trực tuyến, chẳng hạn như giao dịch ngân hàng. Thay vào đó, sử dụng các kết nối 3G hay 4G sẽ khiến tin tặc khó lòng đánh cắp thông tin hơn.

Đăng Khoa