Góp ý Tuổi Trẻ Online phiên bản mới Tại đây

​Lỗ hổng đe dọa hơn 1 tỉ tài khoản ứng dụng di động

09/11/2016 19:21 GMT+7
Hơn 1 tỉ tài khoản ứng dụng di động có thể bị xâm nhập dễ dàng.

TTO - Các chuyên gia bảo mật vừa phát hiện một kỹ thuật cho phép hacker đăng nhập từ xa vào tài khoản ứng dụng di động của nạn nhân bất kỳ mà không cần biết điều gì về nạn nhân.

Hơn 1 tỉ tài khoản ứng dụng di động có thể bị xâm nhập dễ dàng. - Ảnh: The Hacker News
Hơn 1 tỉ tài khoản ứng dụng di động có thể bị xâm nhập dễ dàng. - Ảnh: The Hacker News


Nhóm ba nhà nghiên cứu đến từ ĐH Trung Quốc của Hồng Kông đã chỉ ra lỗ hổng một lượng lớn ứng dụng trên hệ điều hành Android và iOS cho phép họ đăng nhập từ xa vào tài khoản ứng dụng di động của người dùng bất kỳ mà không cần biết điều gì về họ.

Lỗ hổng xác thực OAuth

OAuth 2.0 là một tiêu chuẩn xác thực mở cho phép người dùng đăng nhập vào dịch vụ của bên thứ ba khác bằng cách xác thực danh tính hiện có qua tài khoản những dịch vụ phổ biến như: Google, Facebook, Twitter, Yahoo… Điều này giúp người dùng đăng nhập nhanh vào bất kỳ dịch vụ bên thứ ba mà không cần cung cấp tên người dùng hoặc mật khẩu hoặc đăng ký tài khoản mới.

Theo phát hiện của nhóm nghiên cứu này, hầu hết các ứng dụng di động phổ biến hiện nay có hỗ trợ dịch vụ xác thực một lần (SSO) nhưng lại không thực thi an toàn phương thức OAuth 2.0.

Các nhà nghiên cứu phát hiện rằng các nhà phát triển của một lượng lớn ứng dụng Android không kiểm tra đúng tính hợp lệ của thông tin được gửi từ nhà cung cấp.

Cụ thể, thay vì xác minh thông tin OAuth (Access Token) kèm theo thông tin xác thực người sử dụng để xác nhận nếu người dùng và nhà cung cấp ID được liên kết thì máy chủ ứng dụng chỉ kiểm tra ID người dùng lấy ra từ nhà cung cấp ID.

Lợi dụng lỗ hổng này, kẻ tấn công có thể tải về ứng dụng có lỗ hổng, đăng nhập với thông tin của chính mình và sau đó đổi thành tên người dùng của đối tượng mục tiêu bằng cách thiết lập một máy chủ để sửa đổi dữ liệu được gửi từ Facebook, Google hoặc các nhà cung cấp ID khác. Qua đó, kẻ tấn công có thể kiểm soát toàn bộ dữ liệu chứa trong ứng dụng.

Hiểm họa tiềm ẩn

Theo The Hacker News, nếu kẻ tấn công đột nhập thành công vào ứng dụng du lịch của nạn nhân, chúng có thể biết được lịch trình chuyến đi; nếu đột nhập vào ứng dụng đặt phòng khách sạn, chúng có thể đặt phòng cho mình nhưng nạn nhân phải thanh toán; hoặc phổ biến nhất là đánh cắp dữ liệu cá nhân của nạn nhân, chẳng hạn như địa chỉ nhà ở hoặc thông tin ngân hàng...

Các nhà nghiên cứu tìm thấy hàng trăm ứng dụng Android phổ biến của Mỹ và Trung Quốc có hỗ trợ dịch vụ SSO với tổng số lượng tải về hơn 2,4 tỉ lượt, có nguy cơ tồn tại vấn đề này.

Xem xét số lượng người dùng lựa chọn đăng nhập dựa trên OAuth, các nhà nghiên cứu ước tính hơn một tỉ tài khoản ứng dụng di động khác nhau có nguy cơ bị tấn công bằng phát hiện của họ.

Riêng với hệ điều hành iOS, nhóm nghiên cứu cho biết chưa kiểm tra khả năng khai thác lỗ hổng nhưng tin rằng hacker hoàn toàn có thể tiến hành tấn công người dùng iOS theo cách làm tương tự như Android.

 

ĐỨC THIỆN
Vì sao bạn ‘không thể cưỡng lại’ cái điện thoại? - Phần 1

TTO - Nghiện công nghệ giờ không còn là giả thuyết hay hiện tượng hy hữu. Chứng nghiện này đã ở mức cần phải báo động bởi những hệ lụy trực tiếp của nó với sức khỏe và hiệu suất công việc.

Khóa tài khoản, thu hồi hơn 24 triệu SIM kích hoạt sẵn

TTO - Đây là kết quả của "chiến dịch" thu hồi SIM kích hoạt sẵn mà Bộ Thông tin và Truyền thông đã triển khai với các nhà mạng trong năm 2017.

Đề nghị Google lập văn phòng đại diện tại Việt Nam

TTO - Bộ trưởng Bộ Thông tin và truyền thông Trương Minh Tuấn đã nêu đề nghị này với bà Ann Lavin, Giám đốc Chính sách công và quan hệ chính phủ, Google khu vực Châu Á – Thái Bình Dương trong buổi tiếp đoàn công tác cấp cao của Google.

Dùng ứng dụng ngừa thai Natural Cycles, 37 phụ nữ mang thai

TTO - Theo thống kê của bệnh viện Södersjukhuset ở Stockholm (Thụy Điển), đã có 37 trong số 668 phụ nữ tìm cách phá thai từ tháng 9 đến tháng 12-2017 do sử dụng ứng dụng Natural Cycles.

Bitcoin lao dốc 25%, còn 10.200 USD/đồng

TTO - Trong các phiên giao dịch đầu ngày hôm nay (17-1) tại châu Á, đồng tiền kỹ thuật số bitcoin đã mất 1/4 giá trị trong bối cảnh nhiều nước tăng biện pháp kiểm soát loại tiền này.

Nghị sĩ Mỹ hối thúc AT&T cắt quan hệ với Huawei

TTO - Các nghị sĩ Mỹ thúc giục nhà mạng lớn số 2 tại Mỹ AT&T cắt quan hệ thương mại với hãng sản xuất điện thoại Trung Quốc vì lý do an ninh quốc gia.

Ngày này 10 năm trước Steve Jobs đã thay đổi tương lai của laptop

TTO - Hôm nay 16-1 (giờ Việt Nam) là ngày mà chiếc MacBook Air đầu tiên được Steve Jobs giới thiệu trước công chúng cách đây 10 năm.