Danh sách 76 ứng dụng phổ biến trên iOS có nguy cơ làm lộ thông tin người dùng

Chuyên gia bảo mật Will Strafach dựa trên ứng dụng phân tích dịch vụ Verify.ly đã đưa ra danh sách 76 ứng dụng iOS phổ biến chứa lỗ hổng bảo mật man-in-the-middle có nguy cơ làm lộ thông tin người dùng.

Những ứng dụng trong danh sách này sẽ được chia ra thành 3 cấp: nguy cơ thấp, nguy cơ trung bình và nguy cơ cao. Theo ông Strafach, trong quá trình kiểm tra, ông đã xác nhận được 76 ứng dụng iOS phổ biến có nguy cơ dẫn tới các cuộc tấn công man-in-the-middle âm thầm, được tiến hành trên những kết nối được bảo vệ bởi TLS (HTTPS), cho phép can thiệp và/hoặc thao túng các dữ liệu khi chuyển.

Theo ước tính của Apptopia, tổng cộng có tới 18.000.000 (mười tám triệu) lượt tải 76 ứng dụng này và được xác nhận là đã bị ảnh hưởng bởi lỗ hổng.

Trong số đó chỉ có 33 ứng dụng nằm trong danh sách nguy cơ thấp, 24 ứng dụng iOS có nguy cơ trung bình và 19 ứng dụng có nguy cơ cao (có khả năng can thiệp vào việc chứng thực khi đăng nhập vào các dịch vụ tài chính hoặc y tế và/hoặc các token xác thực phiên giao dịch của những người sử dụng có đăng nhập).

Lỗ hổng này bắt nguồn từ một tính năng mà Apple đã đưa vào iOS 9. Tính năng này có tên gọi là App Transport Security (ATS). Nó có nhiệm vụ bảo vệ an toàn việc truyền dữ liệu qua giao thức HTTPS. Nhưng một đoạn mã bị cấu hình sai nằm trong ứng dụng iOS có thể đánh lừa ATS khiến nó nghĩ việc kết nối là an toàn. Tin tặc với hiểu biết về lỗ hổng này có thể đánh cắp dữ liệu trong iPhone qua kết nối Wi-Fi.Tính năng App Transport Security trên iOS không thể và cũng đã không ngăn chặn được những lỗ hổng này.

Apple không thể tự khắc phục vấn đề này, bởi nếu họ cố gắng ghi đè vào tính năng này nhằm ngăn chặn hiểm họa an ninh nói trên, nó có thể khiến cho một số ứng dụng iOS bị bảo mật kém hơn, và chỉ có các nhà phát triển ứng dụng mới có thể kiểm soát và đảm bảo ứng dụng của mình không mắc phải lỗ hổng.

Về phía người sử dụng, khi kết nối internet thông qua một Wi-Fi công cộng và cần phải thực hiện những thao tác nhạy cảm trên di động (chẳng hạn như mở ứng dụng ngân hàng và kiểm tra số dư tài khoản), hãy vào phần Settings và tắt Wi-Fi đi. Mặc dù nguy cơ bị khai thác thông qua dữ liệu di động là vẫn có nhưng đòi hỏi phần cứng cao cấp, kỹ năng phức tạp hơn.

Các công ty nếu có ý định đưa một ứng dụng nào lên App Store iOS thì cần phân tích các bản buid trước khi đẩy lên App Store và theo ông Strafact đề xuất thì có thể sử dụng dịch vụ của verify.ly.

Đối với các nhà phát triển, cần hết sức cẩn thận khi thêm các dòng code liên quan đến mạng và thay đổi hành vi ứng dụng. Nhiều vấn đề tương tự như vậy đã xảy ra và xuất phát từ việc một nhà phát triển ứng dụng đã không hiểu rõ về dòng code mà họ mượn trên web.

Dưới đây là danh sách những ứng dụng có nguy cơ dính lỗ hổng man-in-the-middle:

Nguy cơ thấp:

ooVoo — Free Video Call, Text and Voice:

VivaVideo — Free Video Editor & Photo Movie Maker

Snap Upload for Snapchat — Send Photos & Videos

Uconnect Access

Volify — Free Online Music Streamer & MP3 Player

Uploader Free for Snapchat — Quick Upload Snap from Camera Roll.

Epic! — Unlimited Books for Kids

Mico — Chat, Meet New People

Safe Up for Snapchat — Quick Upload photos and videos from your camera roll

Tencent Cloud

Uploader for Snapchat — Quick Upload Pics & Videos to Snapchat.

Huawei HiLink (Mobile WiFi)

VICE News.

Trading 212 Forex & Stocks

途牛旅游-订机票酒店火车票汽车票特价旅行.

CashApp — Cash Rewards App

[Clone of legitimate service] (Đã gỡ khỏi App Store từ ngày 7/2/2017)

1000 Friends for Snapchat — Get More Friends & Followers for Snapchat

YeeCall Messenger-Free Video Call&Conference Call

InstaRepost — Repost Videos & Photos for Instagram Free Whiz App

Loops Live

Privat24

Private Browser — Anonymous VPN Proxy Browser

Cheetah Browser

AMAN BANK

FirstBank PR Mobile Banking

vpn free — OvpnSpider for vpngate

Gift Saga — Free Gift Card & Cash Rewards

Vpn One Click Professional

Music tube — free imusic playlists from Youtube

AutoLotto: Powerball, MegaMillions Lottery Tickets

Foscam IP Camera Viewer by OWLR for Foscam IP Cams.

Code Scanner by ScanLife: QR and Barcode Reader

Những ứng dụng có nguy cơ trung bình hoặc cao, theo ông Strafact, thì sẽ được đăng tải trong vòng 60 – 90 ngày tới, sau khi liên lạc với các ngân hàng, nhà cung cấp dịch vụ y tế, các nhà phát triển những ứng dụng nhạy cảm bị ảnh hưởng. Hiện tại, danh sách này chỉ được cung cấp cho một số bên có liên quan vì lý do nhạy cảm.

Bạn có thể xem bài viết đầy đủ của ông Will Strafach tại đây.

Theo ICT News

Advertisements

Trả lời

Mời bạn điền thông tin vào ô dưới đây hoặc kích vào một biểu tượng để đăng nhập:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Đăng xuất / Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Đăng xuất / Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Đăng xuất / Thay đổi )

Google+ photo

Bạn đang bình luận bằng tài khoản Google+ Đăng xuất / Thay đổi )

Connecting to %s