Hacker có thể tiếp cận 1,7 triệu password và ảnh nude qua ứng dụng Android

15/08/2018 09:56 GMT+7

Google Play có nhiều ứng dụng được tiếp thị cho các cặp đôi hoặc phụ huynh muốn theo dõi người thân yêu.

Trang Forbes cho biết một số ứng dụng thường được dùng trong các mối quan hệ lạm dụng, và điện thoại của nạn nhân bị kẻ lạm dụng lấy để cài đặt ứng dụng mà không hay biết. Một lượng lớn các ứng dụng chứa nhiều lỗ hổng cơ bản nhưng gây sốc, có thể cho phép bất cứ ai đăng nhập và theo dõi điện thoại có chạy phần mềm chúng.
Ví dụ đáng lo ngại nhất là ứng dụng Couple Vow làm lộ 1,7 triệu mật khẩu của người dùng, hoàn toàn không được bảo mật và lộ dưới dạng văn bản thuần túy. Bất cứ ai có quyền truy cập vào tài khoản sẽ có địa điểm, văn bản và dữ liệu cuộc gọi của người đang bị gián điệp. Toàn bộ nội dụng được gửi qua tính năng nhắn tin của ứng dụng.
Một lỗ hổng khác trên dữ liệu của ứng dụng này còn có nghĩa là tin tặc (may mắn thay, trong trường hợp này là người thân của nạn nhân) có thể truy cập toàn bộ dữ liệu của 1,7 triệu người dùng trong các nhóm thông tin. Một số trường hợp, dữ liệu còn bao gồm cả ảnh khỏa thân.
Lỗ hổng được các nhà nghiên cứu thuộc viện Fraunhofer về Công nghệ Thông tin Bảo mật ở Đức phát hiện. Họ công bố phát hiện này tại hội nghị về tấn công mạng DEF CON diễn ra ở Las Vegas (Mỹ) cuối tuần trước.
Điểm yếu của Couple Vow rất sơ đẳng. Tất cả những gì các nhà nghiên cứu phải làm là yêu cầu dữ liệu từ máy chủ ứng dụng, sử dụng yêu cầu gọi là GET. Không cần đăng nhập tên người dùng hay mật khẩu. Tất cả thông tin đăng nhập của người dùng được để hoàn toàn không mã hóa, và bất cứ ai có kết nối internet đều có thể đọc.
“Bạn thậm chí không cần tấn công máy chủ. Một yêu cầu GET đã đủ để bạn mất toàn bộ dữ liệu vì không có bất kỳ hoạt động xác thực nào cả”, nhà nghiên cứu bảo mật Siegfried Rasthofer cho biết.
Một lỗ hổng khác trong ứng dụng cho phép các nhà nghiên cứu tiếp cận với hình ảnh, lấy ra 9 ảnh mỗi lần. Khi họ cố gắng xem xét liệu hình ảnh có bị khai thác bởi lỗ hổng hay không, họ tìm thấy các bức ảnh khác, trong đó có ảnh nude. Các nhà nghiên cứu thực tế không tải xuống hình ảnh nào, và chúng là các bức ảnh được lưu trữ trong trình duyệt.
Các nhà phát triển ứng dụng Couple Vow chưa trả lời yêu cầu bình luận. 18 ứng dụng theo dõi khác với tổng cộng hàng triệu người dùng cũng được Rasthofer cùng đồng nghiệp Stephan Huber và Steven Arzt xem xét hồi năm ngoái. Tất cả các điểm yếu đều có thể được dùng để truy cập tài khoản, bao gồm cả việc bỏ qua đăng nhập và liên lạc không được bảo vệ.
Các hãng phần mềm theo dõi tiêu dùng bị tấn công bởi nhiều tin tặc ít có chủ ý trong năm 2017. Đơn cử, FlexiSpy của Thái Lan và Retina-X của Mỹ bị tin tặc tấn công hồi năm ngoái.
Một số nhà phát triển ứng dụng đáp lại lời cảnh báo của ông Rasthofer, song nhiều ứng dụng khác vẫn còn online và dễ bị lạm dụng, trong đó có Couple Vow. Nhà nghiên cứu Rasthofer chỉ trích phản ứng của Google trước phát hiện của nhóm ông: “Chuyện liên lạc với Google không hay. Họ chậm và chúng tôi phải thúc giục họ. Có lẽ vì nó không ảnh hưởng trực tiếp đến Google”.
Top

Bạn không thể gửi bình luận liên tục. Xin hãy đợi
60 giây nữa.