Lỗ hổng đe dọa hơn 1 tỉ tài khoản ứng dụng di động

Các chuyên gia bảo mật vừa phát hiện một kỹ thuật cho phép hacker đăng nhập từ xa vào tài khoản ứng dụng di động của nạn nhân bất kỳ mà không cần biết điều gì về nạn nhân.
Hơn 1 tỉ tài khoản ứng dụng di động có thể bị xâm nhập dễ dàng. - Ảnh: The Hacker News
Hơn 1 tỉ tài khoản ứng dụng di động có thể bị xâm nhập dễ dàng. - Ảnh: The Hacker News

Nhóm ba nhà nghiên cứu đến từ ĐH Trung Quốc của Hồng Kông đã chỉ ra lỗ hổng một lượng lớn ứng dụng trên hệ điều hành Android và iOS cho phép họ đăng nhập từ xa vào tài khoản ứng dụng di động của người dùng bất kỳ mà không cần biết điều gì về họ.

Lỗ hổng xác thực OAuth

Theo phát hiện của nhóm nghiên cứu này, hầu hết các ứng dụng di động phổ biến hiện nay có hỗ trợ dịch vụ xác thực một lần (SSO) nhưng lại không thực thi an toàn phương thức OAuth 2.0.

OAuth 2.0 là một tiêu chuẩn xác thực mở cho phép người dùng đăng nhập vào dịch vụ của bên thứ ba khác bằng cách xác thực danh tính hiện có qua tài khoản những dịch vụ phổ biến như: Google, Facebook, Twitter, Yahoo… Điều này giúp người dùng đăng nhập nhanh vào bất kỳ dịch vụ bên thứ ba mà không cần cung cấp tên người dùng hoặc mật khẩu hoặc đăng ký tài khoản mới.
Các nhà nghiên cứu phát hiện rằng các nhà phát triển của một lượng lớn ứng dụng Android không kiểm tra đúng tính hợp lệ của thông tin được gửi từ nhà cung cấp.

Cụ thể, thay vì xác minh thông tin OAuth (Access Token) kèm theo thông tin xác thực người sử dụng để xác nhận nếu người dùng và nhà cung cấp ID được liên kết thì máy chủ ứng dụng chỉ kiểm tra ID người dùng lấy ra từ nhà cung cấp ID.

Lợi dụng lỗ hổng này, kẻ tấn công có thể tải về ứng dụng có lỗ hổng, đăng nhập với thông tin của chính mình và sau đó đổi thành tên người dùng của đối tượng mục tiêu bằng cách thiết lập một máy chủ để sửa đổi dữ liệu được gửi từ Facebook, Google hoặc các nhà cung cấp ID khác. Qua đó, kẻ tấn công có thể kiểm soát toàn bộ dữ liệu chứa trong ứng dụng.

Hiểm họa tiềm ẩn

Theo The Hacker News, nếu kẻ tấn công đột nhập thành công vào ứng dụng du lịch của nạn nhân, chúng có thể biết được lịch trình chuyến đi; nếu đột nhập vào ứng dụng đặt phòng khách sạn, chúng có thể đặt phòng cho mình nhưng nạn nhân phải thanh toán; hoặc phổ biến nhất là đánh cắp dữ liệu cá nhân của nạn nhân, chẳng hạn như địa chỉ nhà ở hoặc thông tin ngân hàng...

Các nhà nghiên cứu tìm thấy hàng trăm ứng dụng Android phổ biến của Mỹ và Trung Quốc có hỗ trợ dịch vụ SSO với tổng số lượng tải về hơn 2,4 tỉ lượt, có nguy cơ tồn tại vấn đề này.

Xem xét số lượng người dùng lựa chọn đăng nhập dựa trên OAuth, các nhà nghiên cứu ước tính hơn một tỉ tài khoản ứng dụng di động khác nhau có nguy cơ bị tấn công bằng phát hiện của họ.

Riêng với hệ điều hành iOS, nhóm nghiên cứu cho biết chưa kiểm tra khả năng khai thác lỗ hổng nhưng tin rằng hacker hoàn toàn có thể tiến hành tấn công người dùng iOS theo cách làm tương tự như Android.

Theo Tuổi trẻ