Đáng lo ngại là sau khi được công ty liên hệ, chỉ có một số ứng dụng đã thay đổi cài đặt của họ để thông tin ở chế độ riêng tư. Các nhà nghiên cứu cũng tìm thấy các khóa thông báo và lưu trữ đám mây được nhúng trong một số ứng dụng Android, khiến các tài nguyên nội bộ của nhà phát triển như quyền truy cập vào cơ chế cập nhật, bộ nhớ... gặp rủi ro.
Ngày 20/5/2021 các nhà nghiên cứu giải thích trong một blog rằng: “Các giải pháp dựa trên đám mây hiện đại đã trở thành tiêu chuẩn mới trong thế giới phát triển ứng dụng di động. Các dịch vụ như lưu trữ dựa trên đám mây, cơ sở dữ liệu thời gian thực, quản lý thông báo, phân tích và hơn thế nữa chỉ cần một cú nhấp chuột là có thể được tích hợp vào các ứng dụng. Tuy nhiên, các nhà phát triển thường bỏ qua khía cạnh bảo mật của các dịch vụ này như cấu hình và cả nội dung của chúng".
Các nhà nghiên cứu cho biết hiểm họa của dữ liệu trên các ứng dụng có nguy cơ làm xảy ra một loạt các cuộc tấn công tiếp theo, từ việc sử dụng thông tin xác thực chống lại các tài khoản khác đến kỹ thuật xã hội và gian lận hay đánh cắp danh tính.
Cơ sở dữ liệu thời gian thực của các ứng dụng đang được mở công khai
Dữ liệu cá nhân có thể dễ dàng truy cập từ cơ sở dữ liệu thời gian thực của 13 ứng dụng Android, có số lượt tải xuống từ 10.000 đến 10 triệu. Các nhà nghiên cứu cho biết, các ứng dụng này thuộc các lĩnh vực như chiêm tinh học, dịch vụ taxi, người tạo logo, quay phim màn hình và gửi fax.
Cơ sở dữ liệu thời gian thực cho phép các nhà phát triển ứng dụng lưu trữ dữ liệu trên đám mây để mỗi khi ứng dụng kết nối, thông tin sẽ được đồng bộ hóa và các cơ sở dữ liệu của khách hàng được cập nhật. Tuy nhiên, đối với các ứng dụng này đều không có kiểm tra xác thực để truy cập chúng.
Trong trường hợp của T'Leva, một ứng dụng taxi với hơn 50.000 lượt tải xuống, các nhà nghiên cứu có thể truy cập tin nhắn trò chuyện giữa tài xế và hành khách, cộng với dữ liệu vị trí và thông tin cá nhân như tên đầy đủ và số điện thoại chỉ bằng cách gửi một yêu cầu đến cơ sở dữ liệu.
Một số ứng dụng trên Google Play với cơ sở dữ liệu thời gian thực đang được mở công khai
Email, mật khẩu, ID và tên người dùng bị lộ trên ứng dụng Logo Maker
Ứng dụng Astro Guru đã không lường trước được sự cố rò rỉ dữ liệu
Một trong những ứng dụng vi phạm, Astro Guru với hơn 10 triệu lượt tải xuống. Nó cung cấp các dịch vụ tử vi, xem tướng tay và các dịch vụ tương tự. Vì ứng dụng này cung cấp các bài đọc được cá nhân hóa, nên đã yêu cầu rất nhiều thông tin, bao gồm tên, ngày sinh, giới tính, vị trí, email và tất nhiên, chi tiết thanh toán. Sau khi hoàn thành, Astro Guru sẽ cung cấp “báo cáo dự đoán tử vi và chiêm tinh cá nhân”.
Trong khi đó, trình quản lý thông báo trong nhiều ứng dụng cũng không được bảo vệ bằng mật khẩu. Thông báo quen thuộc với hầu hết chúng ta như những ghi chú không được yêu cầu bật lên dưới dạng cảnh báo, gắn cờ tin tức, email mới, nội dung mới, số bước một người đã thực hiện trong ngày hôm đó hoặc bạn đã làm gì, từ các ứng dụng khác nhau được cài đặt trên điện thoại.
Điều này có thể được lợi dụng theo những cách khéo léo, chẳng hạn như tin tặc chặn các cảnh báo tin tức để thay thế nội dung hợp pháp bằng tin tức giả mạo hoặc những kẻ lừa đảo đưa các liên kết lừa đảo vào thông báo - tất cả đều được gửi từ ứng dụng hợp pháp, vì vậy người dùng không ai khôn ngoan hơn.
Hai ứng dụng sử dụng khóa đám mây bị lộ dữ liệu
Theo các nhà nghiên cứu thì ít nhất trường hợp của hai trong số các ứng dụng vi phạm, các khóa đám mây đã bị lộ ra ngoài mà không có biện pháp bảo vệ nào.
Ví dụ: ứng dụng Screen Recorder thực hiện ghi lại màn hình của người dùng và sau đó lưu các bản ghi trên đám mây để truy cập sau, ứng dụng này có hơn 10 triệu lượt tải xuống. Thật không may, các nhà phát triển đã lưu mật khẩu riêng tư của người dùng trên cùng một dịch vụ đám mây lưu trữ các bản ghi âm.
Nếu bạn chọn sử dụng lưu trữ đám mây với tư cách là nhà phát triển, bạn cần đảm bảo mọi tài liệu quan trọng cần thiết để kết nối với bộ nhớ đó được giữ an toàn và bạn cũng phải tận dụng cơ chế kiểm soát truy cập và mã hóa của nhà cung cấp dịch vụ đám mây để giữ cho dữ liệu được bảo vệ. Các nhà phát triển ứng dụng dành cho thiết bị di động nên sử dụng các cơ chế khóa và chuỗi khóa của Android được hỗ trợ bởi mô-đun bảo mật phần cứng của thiết bị di động. Các nhà phát triển cũng nên sử dụng các cơ chế mã hóa của Android khi lưu trữ các dữ liệu nhạy cảm khác ở phía máy khách.
Ứng dụng thứ hai là iFax, cũng mắc một lỗi tương tự. Trong trường hợp này, các nhà phát triển đã lưu trữ các khóa đám mây và quá trình truyền fax trong cùng một đám mây.
“Chỉ cần phân tích ứng dụng, kẻ xấu có thể có quyền truy cập vào bất kỳ và tất cả các tài liệu được gửi bởi 500.000 người dùng đã tải xuống ứng dụng này”, theo Check Point, một vấn đề cho rằng những người sử dụng fax nhiều nhất hiện nay là các ngành được quản lý như chăm sóc sức khỏe và các công ty tài chính.
Phải làm gì nếu dữ liệu của bạn bị rò rỉ bởi một ứng dụng
Imperva Research Labs (công ty chuyên cung cấp các phân tích bảo mật, giảm rủi ro từ các ứng dụng riêng lẻ của Mỹ) đã phát hiện ra rằng các sự cố rò rỉ dữ liệu đã tăng 557% trong năm 2020 và tăng 74% kể từ đầu năm 2021, theo Ron Bennatan, Tổng giám đốc bảo mật dữ liệu của Imperva cho biết: “Các doanh nghiệp cần phải ngừng nghĩ về bảo mật ứng dụng và bảo mật dữ liệu như những thực thể khác nhau, bởi vì những kẻ tấn công chắc chắn không nghĩ như vậy và nó đang tạo cơ hội cho chúng truy cập vào dữ liệu. Một doanh nghiệp tốt có cách tiếp cận lấy dữ liệu làm trung tâm và tự bảo mật dữ liệu chứ không chỉ các thiết bị đầu cuối được kết nối với cơ sở dữ liệu”.
Nói cách khác, việc cấu hình sai đám mây khiến dữ liệu bị lộ công khai luôn xảy ra và thật không may, người dùng làm được rất ít việc để bảo vệ mình khỏi bị lộ thông tin. Irene Mo, cộng sự tư vấn cấp cao tại Aleada cho biết 2 mẹo cần thực hiện khi xảy ra rò rỉ dữ liệu như sau:
- Thiết lập xác thực đa yếu tố cho mọi tài khoản.
- Sử dụng các câu hỏi bảo mật tài khoản. Câu trả lời cho các câu hỏi bảo mật thường phổ biến như tên đường thời thơ ấu của người dùng hoặc màu sắc yêu thích của họ. Những thông tin này có thể được tìm thấy trực tuyến công khai. Nếu người dùng nói dối về các câu hỏi bảo mật của họ thì chỉ người dùng mới biết câu trả lời thật sự là gì.