Ứng dụng điện thoại di động có thể tồn tại nhiều điều mà không phải người dùng cuối nào cũng nắm rõ
Một nhóm nhà nghiên cứu an ninh mạng gần đây phát hiện ra rằng có một số lượng không nhỏ các ứng dụng điện thoại di động chứa bí mật mã hóa cho phép người khác truy cập dữ liệu riêng tư hoặc chặn nội dung do người dùng cung cấp.
“Phát hiện của nghiên cứu cho thấy các ứng dụng điện thoại di động có thể tồn tại những hành vi tiềm ẩn hoặc có hại mà người dùng cuối không hề biết”, Zhiqiang Lin, Giáo sư khoa học máy tính và kỹ thuật tại Đại học Bang Ohio (Mỹ), tác giả chính của nghiên cứu, nói. Theo Techxplore, nghiên cứu này đã được chấp nhận công bố bởi Hội nghị chuyên đề về Bảo mật và Riêng tư (IEEE Symposium on Security and Privacy 2020) dự kiến diễn ra vào tháng 5.2020.
Nhưng trước tình hình dịch Covid-19 bùng phát trên toàn cầu, hội nghị sẽ chuyển sang hình thức phát trực tuyến. Kể từ năm 1980, IEEE Symposium on Security and Privacy đã là diễn đàn hàng đầu để trình bày những phát triển về bảo mật máy tính và quyền riêng tư trên thiết bị điện tử, và cũng là nơi tập hợp các nhà nghiên cứu trong lĩnh vực này.
Hơn 12.700 ứng dụng chứa "cửa hậu"
Thông thường các ứng dụng di động tương tác với người dùng bằng cách xử lý và phản hồi dữ liệu đầu vào do người dùng cung cấp. Chẳng hạn, người dùng chỉ cần gõ một số từ hoặc câu nhất định, hoặc nhấp vào một nút hoặc làm động tác trượt trên màn hình, thì ứng dụng sẽ thực hiện nhiều hành động khác nhau. Đối với nghiên cứu này, nhóm nghiên cứu đã đánh giá 150.000 ứng dụng. Cụ thể, họ chọn ra 100.000 ứng dụng phổ biến dựa trên số lượt tải xuống từ cửa hàng Google Play, 20.000 ứng dụng hàng đầu từ một thị trường thay thế và 30.000 ứng dụng được cài đặt sẵn trên điện thoại thông minh Android.
Sau khi xem xét, họ phát hiện ra rằng 12.706 ứng dụng trong tổng số nêu trên, khoảng 8,5%, chứa một thứ mà nhóm nghiên cứu đã dán nhãn “bí mật cửa hậu”, cụm từ để chỉ hành vi ẩn giấu trong các ứng dụng chấp nhận một số loại nội dung nhất định để kích hoạt hành vi mà người dùng cuối không biết. Họ còn thấy rằng một số ứng dụng có “mật khẩu chủ” (Master Password) tích hợp, cho phép bất kỳ ai có loại mật khẩu này đều có thể truy cập vào ứng dụng và mọi dữ liệu riêng tư có trong đó. Master Password là một thuật toán được thiết kế để tạo mật khẩu duy nhất theo cách có thể lặp lại. Ngoài ra, có một số ứng dụng tồn tại khóa truy cập bí mật có thể kích hoạt các tùy chọn ẩn.
“Cả người dùng và nhà phát triển ứng dụng đều có khả năng gặp rủi ro nếu một kẻ xấu nào đó có được “bí mật cửa hậu”. Trên thực tế, những kẻ tấn công có thể đảo ngược thiết kế kỹ thuật của ứng dụng để khám phá bí mật”, Giáo sư Zhiqiang Lin nói. Qingchuan Zhao, trợ lý nghiên cứu tại Đại học Bang Ohio, đồng tác giả chính của nghiên cứu, cho biết các nhà phát triển ứng dụng thường cho rằng kỹ thuật đảo ngược của ứng dụng không phải là mối đe dọa chính đáng.
“Một trong những nguyên nhân chính về việc các ứng dụng di động tồn tại “bí mật cửa hậu” là do các nhà phát triển ứng dụng đã đặt nhầm niềm tin. Để thực sự bảo mật ứng dụng, họ cần thực hiện xác nhận dữ liệu đầu vào liên quan đến bảo mật của người dùng và đẩy thông tin riêng tư lên các máy chủ phụ trợ”, ông Zhao nói.
Hơn 4.000 ứng dụng kiểm duyệt người dùng
Ngoài “bí mật cửa hậu”, nhóm nghiên cứu còn tìm thấy 4.028 ứng dụng, khoảng 2,7% trong tổng số ứng dụng khảo sát, đã chặn nội dung có chứa các từ khóa cụ thể chịu sự kiểm duyệt. Không ngạc nhiên khi các ứng dụng đó có thể hạn chế một số nội dung nhất định, nhưng điều đáng nói ở đây là cách thức chúng hoạt động, đó là xác định cục bộ, cụ thể đối tượng thay vì xem xét trên diện rộng, hoặc trong phạm vi xa.
“Trên nhiều nền tảng ứng dụng, nội dung do người dùng tạo ra có thể được kiểm duyệt hoặc sàng lọc trước khi xuất bản. Một số mạng xã hội như Facebook, Instagram và Tumblr đã giới hạn nội dung người dùng được phép đăng. Nhưng thật không may, điều này có thể tồn tại vấn đề. Ví dụ, mặc dù người dùng biết rằng có một số từ nhất định bị cấm theo chính sách của môt nền tảng nào đó, nhưng họ mơ hồ, không biết rõ từ nào thực sự bị cấm, và kết quả là nội dung bị chặn mà người dùng cuối không hề hiểu tại sao”, Giáo sư Zhiqiang Lin cho hay.
Sau khi xem xét các ứng dụng, nhóm nghiên cứu đã phát triển một công cụ nguồn mở gọi là InputScope, với mục đích giúp các nhà phát triển hiểu thêm về điểm yếu trong ứng dụng của họ và để chứng minh rằng quy trình kỹ thuật đảo ngược có thể hoàn toàn tự động.