Bài liên quan
Nghiên cứu mới phát hiện nhiều ứng dụng nhắn tin, chia sẻ hình ảnh trên Android không bảo đảm những phương thức bảo mật thông tin người dùng cơ bản nhất.
Theo nghiên cứu mới nhất từ Đại học UNHcFREG (University of New Haven's Cyber Forensics Research and Education Group) - nhiều ứng dụng Android phổ biến trong đó có Instagram, Grindr, OkCupid không đảm bảo những biện pháp phòng ngừa cơ bản để bảo vệ người dùng; và có thể khiến hàng tỷ người dùng phải đối mặt với nguy cơ an ninh.
UNHcFREG từng được biết đến là nhóm phát hiện những lỗ hổng bảo mật trong ứng dụng nhắn tin WhatsApp và Viber hồi đầu năm nay. Nhóm nghiên cứu tại Đại học UNHcFREG cho hay, họ sẽ sớm đăng tải một đoạn video trên Youtube trong tuần này nhằm công bố những phát hiện của mình.
Nhóm nghiên cứu cho biết họ đã dùng những công cụ phân tích lưu lượng bao gồm Wireshark và NetworkMiner để theo dõi lượng dữ liệu được trao đổi khi người dùng thực hiện các tác vụ thông thường nhằm xác định chính xác vị trí mà các ứng dụng thử nghiệm lưu những dữ liệu này.
Kết quả nghiên cứu cho thấy ứng dụng Instagram lưu những dữ liệu hình ảnh trên server không được mã hóa và có thể truy cập mà không cần xác thực. UNHcFREG cũng phát hiện ra rằng các ứng dụng như OoVoo, MessageMe, Tango, Grindr, HeyWire và TextPlus cũng bị tình trạng tương tự khi người dùng gửi hình ảnh cho nhau. Theo một thành viên đến từ UNHcFREG nhận định, những dữ liệu hình ảnh này phải ngay lập tức được xóa khỏi các máy chủ của nhà cung cấp dịch vụ; hay được thiết lập chỉ để những người dùng được xác thực có thể truy cập. Phát hiện từ Đại học UNHcFREG còn chỉ ra rằng nhiều ứng dụng chat như OoVoo, Kik, Nimbuzz và MeetMe đã không thực hiện mã hóa các đoạn chat có trên thiết bị của người dùng. Điều này thực sự nguy hiểm một khi người dùng chẳng may làm mất thiết bị di động của mình trong quá trình sử dụng.
Không chỉ vậy, UNHcFREG còn phát hiện ra nhiều ứng dụng không hề sử dụng giao thức bảo mật SSL/TLS; hoặc nếu có lại tồn tại ít nhiều sai sót. Chính điều này có thể khiến các hacker dễ dàng đánh chặn lưu lượng dữ liệu truyền tải qua các điểm truy cập Wi-Fi công cộng.
Ngay sau khi phát hiện những vấn đề về bảo mật và an ninh cho người dùng kể trên, Đại học UNHcFREG đã liên hệ với các nhà phát triển ứng dụng. Song, đến nay vẫn chưa nhận được nhiều hồi đáp từ họ.
UNHcFREG từng được biết đến là nhóm phát hiện những lỗ hổng bảo mật trong ứng dụng nhắn tin WhatsApp và Viber hồi đầu năm nay. Nhóm nghiên cứu tại Đại học UNHcFREG cho hay, họ sẽ sớm đăng tải một đoạn video trên Youtube trong tuần này nhằm công bố những phát hiện của mình.
Nhóm nghiên cứu cho biết họ đã dùng những công cụ phân tích lưu lượng bao gồm Wireshark và NetworkMiner để theo dõi lượng dữ liệu được trao đổi khi người dùng thực hiện các tác vụ thông thường nhằm xác định chính xác vị trí mà các ứng dụng thử nghiệm lưu những dữ liệu này.
Kết quả nghiên cứu cho thấy ứng dụng Instagram lưu những dữ liệu hình ảnh trên server không được mã hóa và có thể truy cập mà không cần xác thực. UNHcFREG cũng phát hiện ra rằng các ứng dụng như OoVoo, MessageMe, Tango, Grindr, HeyWire và TextPlus cũng bị tình trạng tương tự khi người dùng gửi hình ảnh cho nhau. Theo một thành viên đến từ UNHcFREG nhận định, những dữ liệu hình ảnh này phải ngay lập tức được xóa khỏi các máy chủ của nhà cung cấp dịch vụ; hay được thiết lập chỉ để những người dùng được xác thực có thể truy cập. Phát hiện từ Đại học UNHcFREG còn chỉ ra rằng nhiều ứng dụng chat như OoVoo, Kik, Nimbuzz và MeetMe đã không thực hiện mã hóa các đoạn chat có trên thiết bị của người dùng. Điều này thực sự nguy hiểm một khi người dùng chẳng may làm mất thiết bị di động của mình trong quá trình sử dụng.
Không chỉ vậy, UNHcFREG còn phát hiện ra nhiều ứng dụng không hề sử dụng giao thức bảo mật SSL/TLS; hoặc nếu có lại tồn tại ít nhiều sai sót. Chính điều này có thể khiến các hacker dễ dàng đánh chặn lưu lượng dữ liệu truyền tải qua các điểm truy cập Wi-Fi công cộng.
Ngay sau khi phát hiện những vấn đề về bảo mật và an ninh cho người dùng kể trên, Đại học UNHcFREG đã liên hệ với các nhà phát triển ứng dụng. Song, đến nay vẫn chưa nhận được nhiều hồi đáp từ họ.
Theo PCWorld
Post a Comment