Tham dự Tech Lounge

Tham dự Tech Lounge


Phát hiện 76 ứng dụng iOS trên App Store với hơn 18 triệu lượt tải về đang có lỗ hổng bảo mật

ND Minh Đức
7/2/2017 8:56Phản hồi: 55
Phát hiện 76 ứng dụng iOS trên App Store với hơn 18 triệu lượt tải về đang có lỗ hổng bảo mật
Có tới 76 ứng dụng iOS trên App Store với tổng lượt tải hơn 18 triệu có chứa lỗ hổng bảo mật, khiến cho dữ liệu của người dùng có nguy cơ bị chặn, xâm nhập và đe dọa. Đó là kết quả quét mã nhị phân mới nhất từ dịch vụ phân tích bảo mật verify.ly và lỗ hổng này vẫn tồn tại ngay cả khi lập trình viên có hoặc không sử dụng tính năng bảo mật ATS của Apple. Các ứng dụng có trong danh sách này gồm ViaVideo, ooVoo, Cheetah Browser,… và đây chỉ mới là nhóm có nguy cơ thấp, còn nguy cơ trung bình/cao vẫn chưa được công bố. Hiện chưa có biện pháp khắc phục triệt để và cách tự bảo vệ duy nhất là không xài Wifi và chuyển sang mạng di động cho các thao tác nhạy cảm trên di động.

Verify.ly là dịch vụ quét các ứng dụng IOS trên chợ ứng dụng App Store để tìm ra lỗ hổng, từ đó giúp lập trình viên hiểu rõ khả năng bảo mật và độ an toàn trong mã của họ. Dịch này sẽ quét dạng lỗ hổng và đề phòng tình huống xấu nhất, họ sẽ tiếp tục lập lại quá trình quét đề dò lỗ hổng tương tự ở những app khác. Hôm nay verify.ly thông báo rằng không chỉ tồn tại lỗ hổng trong ứng dụng mà đáng sợ hơn, chúng đã được tải về hơn 18 triệu lượt.

Trong báo cáo phát đi mới đây, verify.ly đã xếp 76 ứng dụng chứa lỗ hổng theo thứ tự mức độ nguy hiểm từ thấp, trung bình cho tới cao. Họ cho biết: “Tính năng ATS của iOS đã không và cũng không thể giúp ngăn chặn những lổ hổng này.” Cho bạn nào chưa rõ, ATS là một tính năng có từ iOS 9 nhằm cỉa thiện mức độ bảo mật và an toàn cho người dùng bằng cách ép các ứng dụng sử dụng giao thức HTTPS. Apple trước đây quy định rằng tới ngày 1/1/2017, tất cả các app đều phải được trang bị tính năng này. Tuy nhiên mốc thời gian này được dời lại không biết đến bao giờ. Vấn đề nằm ở chỗ là chỉ cần tinh chỉnh mã hệ thống mạng thì ATS sẽ luôn xác định các kết nối TLS là hợp lệ.

Trong đó, các ứng dụng được xếp vào hạng nguy cơ thấp bao gồm ViaVideo, ooVoo, Snap Upload for Snapchat, Uploader Free for Snapchat, Cheetah Browser,… Tuy nhiên đây vẫn chỉ là những ứng dụng có nguy cơ thấp. Còn danh sách các app có nguy cơ trung bình hoặc cao vẫn chưa được Verify.ly công bố.

Verify.ly cho biết thêm rằng: “Hiện phía Apple cũng không có cách vá lỗi vì nếu hủy bỏ chức năng này để ngăn chặn nguy cơ bảo mật thì nó có thể khiến cho một số ứng dụng iOS kém an toàn hơn bởi không thể sử dụng các chứng chỉ khi kiểm soát kết nối. Đồng thời họ cũng không thể tin tưởng các chứng chỉ không đáng tin cậy vốn đòi hỏi các kết nối cục bộ trong mạng bằng cơ chế PKI. Bởi thế, trách nhiệm trước tiên phải thuộc về các nhà phát triển, yêu cầu họ phải đảm bảo các ứng dụng không có lỗ hổng."

Trong quá trình chờ đợi có biện pháp khắc phục triệt để, người dùng có thể tạm thời tự bảo vệ bằng cách tinh chỉnh lại VPN hoặc thậm chí là tắt luôn WiFi. Verify.ly khuyến cáo: “Nếu bạn đang ở vị trí công cộng và cần phải thực hiện các hành động nhạy cảm trên thiết bị di động (thí dụ như mở app ngân hàng hoặc kiểm tra số dư tài khoản) thì có thể đề phòng bằng cách mở Cài đặt, tắt Wifi và sử dụng mạng di động. Nguyên nhân bởi mạng di động vẫn chưa xuất hiện lỗ hổng này, việc chặn dữ liệu di động là khó khăn hơn, đòi hỏi các thiết bị phần cứng đắt tiền và đáng chú ý hơn, điều đó là phạm pháp. Đồng thời, kẻ tấn công cũng ít có nguy cơ đánh vào kết nối di động.”

Tham khảo 9to5mac
55 bình luận
Chia sẻ

Xu hướng

Lủng. Android trên DTEK có dễ bị lủng hông ta!?
@thuandesign lủng túi
Và các chuyên gia Việt Nam không có nổi cái thẻ credit để vào mua hàng, lại bắt đầu quan ngại vấn đề này !
@Thangmasaru chuẩn, các thánh dùng chùa chuẩn bị vào tự đề cao trí thông minh tuyệt đỉnh khi cả đời sài chùa, nghe nhạc đạo sơn tường mtp
@Thangmasaru Đâu phải ai cũng bạn đâu mà không có.
seikara
TÍCH CỰC
7 năm
@Thangmasaru Đúng là không có nổi cái thẻ credit, nhưng mà xin hỏi thẻ debit có quyền quan ngại hay không?
Trên Android hay iOS mình chỉ dám tải những phần mềm của các hãng lớn, đáng tin. Đặc biệt rất hạn chế cài ứng dụng từ nhà phát triển Trung quốc.
Youtube trên iOS vừa cập nhật tính năng double tap để tua 10 giây nhé. Update đi các bạn. Nháy bên trái hoặc bên phải để tua lại hoặc tua đi.

Bổ sung: mình vừa thử thì tap bao nhiêu cái nó sẽ nhảy bấy nhiêu giây. Ví dụ: 3 tap là 20 giây, 5 tap là 40 giây. Rất tiện.
mikan293
TÍCH CỰC
7 năm
@thanhphat95 Youtube bản beta trc đó là vuốt sau đó nó lại bỏ và chuyển sang gõ,có lẽ sợ trùng với một số thứ khác.Hoặc có thể chức năng vuốt sẽ dùng để chuyển video.
aloha199x
TÍCH CỰC
7 năm
@dualshock ipad của mình k kéo đc nữa rồi, giờ chỉ tab đc thôi
@aloha199x Kéo cái thanh chạy thời gian hả bạn ? Của mình nó vẫn bình thường mà nhỉ.
ByY.6261
TÍCH CỰC
7 năm
@dualshock Cảm ơn bác. Thế giới cần nhân giống những người như bác.
Bên "thượng vạng hạ cám" chuẩn bị vào chê Vàng nguyên chất 😁
@Ga2018 Vàng dẻo hả bạn haha
@Ga2018 Còn kẻ thích làm trò thì là sịt nguyên chất
Huydola
ĐẠI BÀNG
7 năm
@Ga2018 Chưa uống thuốc sao?
Đang dùng iphone 7 plus mà vẫn chạy file apk ngon lành
Nói không với root và mua bản quyền Dr.Web Security Space Life rồi mà không biết có ăn thua không
khanhatv
ĐẠI BÀNG
7 năm
nhìn mấy app toàn bắt nguồn từ Trung Quốc hết
Ko có danh sách cụ thể nhỉ [​IMG]
(Sent from CRAZYSEXYCOOL1981 using Blackberry PASSPORT.se)
Cứ xài thôi, chắc hacker nó chừa mình ra 😁.
k biết các ứng dụng khác ra sao chứ 3 ứng dụng này là các ứng dụng thứ 3 của snapchat, đại loại là bị snapchat cấm :v
Mình không xài chùa, không JB, mình xài thẻ thanh toán để mua app. Đã được quyền quan ngại chưa các bợn?
ldgiangxda
ĐẠI BÀNG
7 năm
"Dịch vụ này sẽ quét dạng lỗ" bác ơi!
IP của em rút thẻ nhớ ra là hết virut, thế mới tài 😁:D:D
luongcr7
ĐẠI BÀNG
7 năm
@SmallElephant ip có khay đựng thẻ nhớ??? =)))
@luongcr7 Fun mà bạn 😁
ldgiangxda
ĐẠI BÀNG
7 năm
"nhằm cải thiện mức độ bảo mật" hihi
Mua toàn app mua có lần sài lun nên cũng k ngại lắm 😆
Chưa ai vào chê câu nào mà mấy thánh bên trên đã vội xỉa xói nào là không có thẻ credit, bọn xài chùa rồi lôi cả Sơn Tùng với vàng nguyên chất nguyên chiếc ra rồi 😁. Bình tĩnh, bình tĩnh, Iphone vẫn bảo mật nhất quả đất mà :D
ocaidet
ĐẠI BÀNG
7 năm
@Lựu Đạn Nhất hay ko ko cần biết cứ hơn android là đc rồi 😆
Huydola
ĐẠI BÀNG
7 năm
@ocaidet Thật tội nghiệp.
ocaidet
ĐẠI BÀNG
7 năm
@Huydola Thế giờ mình comment android cứ hơn ios là được chắc bạn ko comment kiểu này đâu 😃
Mấy bác thiệt là. Có thấy ai chê bai j đâu mà chận đầu, rào ngỏ dữ quá
voãi. có viva video. cái này sài thấy máy chậm hẳn. nhất là trên androi sài còn thấy máy bị mất bộ nhớ thì phải.
ps- mà mấy tay cuồng kia chưa thấy ai nói gì mà đã ẳ rồi là sao. ko cắ sợ ngta ko biết nhà có chủ àh

Xu hướng

Bài mới









  • Chịu trách nhiệm nội dung: Trần Mạnh Hiệp
  • © 2024 Công ty Cổ phần MXH Tinh Tế
  • Địa chỉ: Số 70 Bà Huyện Thanh Quan, P. Võ Thị Sáu, Quận 3, TPHCM
  • Số điện thoại: 02822460095
  • MST: 0313255119
  • Giấy phép thiết lập MXH số 11/GP-BTTTT, Ký ngày: 08/01/2019