Phát hiện 76 ứng dụng phổ biến trên App Store dính lỗ hổng bảo mật

76 ứng dụng phổ biến với khoảng 18 triệu lượt tải trên App Store vừa bị phát hiện có lỗ hổng bảo mật.
Ảnh minh họa
Ảnh minh họa

Sau khi quét qua các mã nhị phân của các ứng dụng trong iOS App Store, dịch vụ verify.ly của Will Strafach đã phát hiện ra 76 ứng dụng phổ biến chứa lỗi khiến dữ liệu của người dùng có thể bị chặn hoặc xâm nhập. Lỗ hổng này vẫn tồn tại dù các nhà phát triển có sử dụng tính năng bảo mật App Transport Security (ATS) của Apple hay không. Cách đây vài tháng, lỗ hổng tương tự cũng được phát hiện với Will Strafach và myFICO trên iOS.

Verify.ly của Strafach là một dịch vụ chuyên quét các ứng dụng iOS trên App Store để tìm ra lỗ hổng từ đó giúp các nhà phát triển hiểu rõ các nguy cơ bảo mật và làm cho sản phẩm của họ trở nên an toàn hơn. Khi phát hiện ra một dạng lỗ hổng nào đó, dịch vụ này sẽ tiếp tục quét ở nhiều ứng dụng khác để xem lỗ hổng này có lặp lại hay không. Thông tin mới nhất của verify.ly là khá nghiêm trọng khi có đến 18 triệu lượt tải về đối với 76 ứng dụng phổ biến nói trên.

Trong báo cáo, Strafach đã sắp xếp các ứng dụng trên vào nhóm có nguy cơ thấp, trung bình và cao. Công ty cho biết: “Tính năng ATS của iOS đã không và cũng không thể giúp ngăn chặn những lỗ hổng này”. ATS là một tính năng được giới thiệu từ iOS 9 giúp cải thiện bảo mật cho người dùng và sự riêng tư bằng cách buộc các ứng dụng phải sử dụng giao thức HTTPS. Apple đã quy định từ ngày 1/1/2017, tất cả các ứng dụng trên App Store đều phải được trang bị tính năng này nhưng sau đó công ty đã lùi thời gian áp dụng chính sách mới lại (chưa rõ đến bao giờ có hiệu lực). Vấn đề là chỉ cần tinh chỉnh mã hệ thống mạng thì ATS sẽ luôn xác định các kết nối TLS là hợp lệ.

Không có sửa chữa nào được thực hiện bởi Apple, nếu họ ghi đè lên chức năng này để khắc phục lỗ hổng bảo mật vừa tìm thấy thì một số ứng dụng iOS sẽ trở nên kém an toàn vì không sử dụng được các chứng chỉ kết nối. Do đó, trách nhiệm thuộc hoàn toàn vào các nhà phát triển ứng dụng để đảm bảo sản phẩm của mình không bị tổn thương.

Các ứng dụng có nguy cơ bảo mật thấp trong số này bao gồm: iaVideo, ooVoo, Snap Upload for Snapchat, Uploader Free for Snapchat, Cheetah Browser. Danh sách ứng dụng có nguy cơ trung bình và cao với lỗ hổng bảo mật mới đã không được verify.ly công bố.

Tạm thời, để bảo vệ an toàn cho mình, người dùng có thể tinh chỉnh lại VPN hoặc tắt Wi-Fi. Verify.ly cho biết: “Nếu bạn đang ở một nơi công cộng mà cần thực hiện một cái gì đó nhạy cảm trên thiết bị của mình (chẳng hạn như mở một ứng dụng ngân hàng để kiểm tra số dư trong tài khoản), bạn có thể mở “Cài đặt” và tắt Wi-Fi đi để sử dụng mạng di động. Nguyên nhân là vì việc chặn dữ liệu di động sẽ khó khăn hơn, đòi hỏi các thiết bị phần cứng đắt tiền và điều này là bất hợp pháp (ít nhất là tại Mỹ). Nguy cơ kẻ tấn công nhắm vào kết nối di động cũng thấp hơn so với Wi-Fi”.

Theo Trí thức trẻ