Có tới 76 ứng dụng iOS trên App Store với tổng lượt tải hơn 18 triệu có chứa lỗ hổng bảo mật, khiến cho dữ liệu của người dùng có nguy cơ bị chặn, xâm nhập và đe dọa. Đó là kết quả quét mã nhị phân mới nhất từ dịch vụ phân tích bảo mật verify.ly và lỗ hổng này vẫn tồn tại ngay cả khi lập trình viên có hoặc không sử dụng tính năng bảo mật ATS của Apple. Các ứng dụng có trong danh sách này gồm ViaVideo, ooVoo, Cheetah Browser,… và đây chỉ mới là nhóm có nguy cơ thấp, còn nguy cơ trung bình/cao vẫn chưa được công bố. Hiện chưa có biện pháp khắc phục triệt để và cách tự bảo vệ duy nhất là không xài Wifi và chuyển sang mạng di động cho các thao tác nhạy cảm trên di động.
Verify.ly là dịch vụ quét các ứng dụng IOS trên chợ ứng dụng App Store để tìm ra lỗ hổng, từ đó giúp lập trình viên hiểu rõ khả năng bảo mật và độ an toàn trong mã của họ. Dịch này sẽ quét dạng lỗ hổng và đề phòng tình huống xấu nhất, họ sẽ tiếp tục lập lại quá trình quét đề dò lỗ hổng tương tự ở những app khác. Hôm nay verify.ly thông báo rằng không chỉ tồn tại lỗ hổng trong ứng dụng mà đáng sợ hơn, chúng đã được tải về hơn 18 triệu lượt.
Trong báo cáo phát đi mới đây, verify.ly đã xếp 76 ứng dụng chứa lỗ hổng theo thứ tự mức độ nguy hiểm từ thấp, trung bình cho tới cao. Họ cho biết: “Tính năng ATS của iOS đã không và cũng không thể giúp ngăn chặn những lổ hổng này.” Cho bạn nào chưa rõ, ATS là một tính năng có từ iOS 9 nhằm cỉa thiện mức độ bảo mật và an toàn cho người dùng bằng cách ép các ứng dụng sử dụng giao thức HTTPS. Apple trước đây quy định rằng tới ngày 1/1/2017, tất cả các app đều phải được trang bị tính năng này. Tuy nhiên mốc thời gian này được dời lại không biết đến bao giờ. Vấn đề nằm ở chỗ là chỉ cần tinh chỉnh mã hệ thống mạng thì ATS sẽ luôn xác định các kết nối TLS là hợp lệ.
Trong đó, các ứng dụng được xếp vào hạng nguy cơ thấp bao gồm ViaVideo, ooVoo, Snap Upload for Snapchat, Uploader Free for Snapchat, Cheetah Browser,… Tuy nhiên đây vẫn chỉ là những ứng dụng có nguy cơ thấp. Còn danh sách các app có nguy cơ trung bình hoặc cao vẫn chưa được Verify.ly công bố.
Verify.ly cho biết thêm rằng: “Hiện phía Apple cũng không có cách vá lỗi vì nếu hủy bỏ chức năng này để ngăn chặn nguy cơ bảo mật thì nó có thể khiến cho một số ứng dụng iOS kém an toàn hơn bởi không thể sử dụng các chứng chỉ khi kiểm soát kết nối. Đồng thời họ cũng không thể tin tưởng các chứng chỉ không đáng tin cậy vốn đòi hỏi các kết nối cục bộ trong mạng bằng cơ chế PKI. Bởi thế, trách nhiệm trước tiên phải thuộc về các nhà phát triển, yêu cầu họ phải đảm bảo các ứng dụng không có lỗ hổng."
Trong quá trình chờ đợi có biện pháp khắc phục triệt để, người dùng có thể tạm thời tự bảo vệ bằng cách tinh chỉnh lại VPN hoặc thậm chí là tắt luôn WiFi. Verify.ly khuyến cáo: “Nếu bạn đang ở vị trí công cộng và cần phải thực hiện các hành động nhạy cảm trên thiết bị di động (thí dụ như mở app ngân hàng hoặc kiểm tra số dư tài khoản) thì có thể đề phòng bằng cách mở Cài đặt, tắt Wifi và sử dụng mạng di động. Nguyên nhân bởi mạng di động vẫn chưa xuất hiện lỗ hổng này, việc chặn dữ liệu di động là khó khăn hơn, đòi hỏi các thiết bị phần cứng đắt tiền và đáng chú ý hơn, điều đó là phạm pháp. Đồng thời, kẻ tấn công cũng ít có nguy cơ đánh vào kết nối di động.”
Verify.ly là dịch vụ quét các ứng dụng IOS trên chợ ứng dụng App Store để tìm ra lỗ hổng, từ đó giúp lập trình viên hiểu rõ khả năng bảo mật và độ an toàn trong mã của họ. Dịch này sẽ quét dạng lỗ hổng và đề phòng tình huống xấu nhất, họ sẽ tiếp tục lập lại quá trình quét đề dò lỗ hổng tương tự ở những app khác. Hôm nay verify.ly thông báo rằng không chỉ tồn tại lỗ hổng trong ứng dụng mà đáng sợ hơn, chúng đã được tải về hơn 18 triệu lượt.
Trong báo cáo phát đi mới đây, verify.ly đã xếp 76 ứng dụng chứa lỗ hổng theo thứ tự mức độ nguy hiểm từ thấp, trung bình cho tới cao. Họ cho biết: “Tính năng ATS của iOS đã không và cũng không thể giúp ngăn chặn những lổ hổng này.” Cho bạn nào chưa rõ, ATS là một tính năng có từ iOS 9 nhằm cỉa thiện mức độ bảo mật và an toàn cho người dùng bằng cách ép các ứng dụng sử dụng giao thức HTTPS. Apple trước đây quy định rằng tới ngày 1/1/2017, tất cả các app đều phải được trang bị tính năng này. Tuy nhiên mốc thời gian này được dời lại không biết đến bao giờ. Vấn đề nằm ở chỗ là chỉ cần tinh chỉnh mã hệ thống mạng thì ATS sẽ luôn xác định các kết nối TLS là hợp lệ.
Trong đó, các ứng dụng được xếp vào hạng nguy cơ thấp bao gồm ViaVideo, ooVoo, Snap Upload for Snapchat, Uploader Free for Snapchat, Cheetah Browser,… Tuy nhiên đây vẫn chỉ là những ứng dụng có nguy cơ thấp. Còn danh sách các app có nguy cơ trung bình hoặc cao vẫn chưa được Verify.ly công bố.
Verify.ly cho biết thêm rằng: “Hiện phía Apple cũng không có cách vá lỗi vì nếu hủy bỏ chức năng này để ngăn chặn nguy cơ bảo mật thì nó có thể khiến cho một số ứng dụng iOS kém an toàn hơn bởi không thể sử dụng các chứng chỉ khi kiểm soát kết nối. Đồng thời họ cũng không thể tin tưởng các chứng chỉ không đáng tin cậy vốn đòi hỏi các kết nối cục bộ trong mạng bằng cơ chế PKI. Bởi thế, trách nhiệm trước tiên phải thuộc về các nhà phát triển, yêu cầu họ phải đảm bảo các ứng dụng không có lỗ hổng."
Trong quá trình chờ đợi có biện pháp khắc phục triệt để, người dùng có thể tạm thời tự bảo vệ bằng cách tinh chỉnh lại VPN hoặc thậm chí là tắt luôn WiFi. Verify.ly khuyến cáo: “Nếu bạn đang ở vị trí công cộng và cần phải thực hiện các hành động nhạy cảm trên thiết bị di động (thí dụ như mở app ngân hàng hoặc kiểm tra số dư tài khoản) thì có thể đề phòng bằng cách mở Cài đặt, tắt Wifi và sử dụng mạng di động. Nguyên nhân bởi mạng di động vẫn chưa xuất hiện lỗ hổng này, việc chặn dữ liệu di động là khó khăn hơn, đòi hỏi các thiết bị phần cứng đắt tiền và đáng chú ý hơn, điều đó là phạm pháp. Đồng thời, kẻ tấn công cũng ít có nguy cơ đánh vào kết nối di động.”
Tham khảo 9to5mac