Hãy tham khảo 76 ứng dụng trên App Store bị dính lỗ hổng bảo mật. Những ứng dụng này với khoảng 18 triệu lượt tải trên App Store vừa bị phát hiện có lỗ hổng bảo mật.

76 ứng dụng trên App Store bị dính lỗ hổng bảo mật

Sau khi quét qua các mã nhị phân của các ứng dụng trong iOS App Store. Dịch vụ verify.ly của Will Strafach đã phát hiện ra 76 ứng dụng trên App Store bị dính lỗ hổng bảo mật. Chứa lỗi khiến dữ liệu của người dùng có thể bị chặn hoặc xâm nhập. Lỗ hổng này vẫn tồn tại dù các nhà phát triển có sử dụng tính năng bảo mật App Transport Security (ATS) của Apple hay không. Cách đây vài tháng, lỗ hổng cũng được phát hiện với Will Strafach và myFICO trên iOS.

76 ứng dụng trên App Store bị dính lỗ hổng bảo mật
Tìm thấy 76 ứng dụng trên App Store bị dính lỗ hổng bảo mật
 Xem thêm: iPad Mini 2 cũ mạnh mẽ nhất trong cấu hình

1. Verigy.ly đã tìm được các lỗ hổng của ứng dụng như thế nào?

Verify.ly của Strafach là một dịch vụ chuyên quét các ứng dụng iOS trên App Store. Nó dùng để tìm ra lỗ hổng từ đó giúp các nhà phát triển. Để hiểu rõ các nguy cơ bảo mật và làm cho sản phẩm của họ trở nên an toàn hơn. Khi phát hiện ra một dạng lỗ hổng nào đó, dịch vụ này sẽ tiếp tục quét ở nhiều ứng dụng khác để xem lỗ hổng này có lặp lại hay không. Thông tin mới nhất của verify.ly là khá nghiêm trọng khi có đến 18 triệu lượt tải về.  Đối với 76 ứng dụng trên App Store bị dính lỗ hổng bảo mật nói trên.

76 ứng dụng trên App Store bị dính lỗ hổng bảo mật
Lỗi trên App Store

Strafach đã sắp xếp các ứng dụng trên vào nhóm có nguy cơ thấp, trung bình và cao. Công ty cho biết. “Tính năng ATS của iOS đã không và cũng không thể giúp ngăn chặn những lỗ hổng này”. ATS là một tính năng được giới thiệu từ iOS 9 giúp cải thiện bảo mật cho người dùng. Và sự riêng tư bằng cách buộc các ứng dụng phải sử dụng giao thức HTTPS. Apple đã quy định từ ngày 1/1/2017, tất cả các ứng dụng trên App Store đều phải được trang bị tính năng này. Nhưng sau đó công ty đã lùi thời gian áp dụng chính sách mới lại (chưa rõ đến bao giờ có hiệu lực). Vấn đề là chỉ cần tinh chỉnh mã hệ thống mạng thì ATS sẽ luôn xác định các kết nối TLS là hợp lệ.

Apple không nhận trách nhiệm về mình

Không có sửa chữa nào được thực hiện bởi Apple. Nếu họ ghi đè lên chức năng này để khắc phục lỗ hổng bảo mật vừa tìm thấy. Thì một số ứng dụng iOS sẽ trở nên kém an toàn vì không sử dụng được các chứng chỉ kết nối. Do đó trách nhiệm thuộc hoàn toàn vào các nhà phát triển ứng dụng. Để đảm bảo sản phẩm của mình không bị tổn thương.

Các ứng dụng có nguy cơ bảo mật thấp trong số này bao gồm: iaVideo, ooVoo, Snap Upload for Snapchat, Uploader Free for Snapchat, Cheetah Browser. Danh sách ứng dụng có nguy cơ trung bình và cao. Với lỗ hổng bảo mật mới đã không được verify.ly công bố.

Cách xử lí các nguy cơ đến với bạn

Tạm thời, để bảo vệ an toàn cho mình, người dùng có thể tinh chỉnh lại VPN hoặc tắt Wi-Fi. Verify.ly cho biết: “Nếu bạn đang ở một nơi công cộng mà cần thực hiện một cái gì đó nhạy cảm trên thiết bị của mình. Chẳng hạn như mở một ứng dụng ngân hàng để kiểm tra số dư trong tài khoản. Bạn có thể mở “Cài đặt” và tắt Wi-Fi đi để sử dụng mạng di động. Nguyên nhân là vì việc chặn dữ liệu di động sẽ khó khăn hơn. Đòi hỏi các thiết bị phần cứng đắt tiền và điều này là bất hợp pháp (ít nhất là tại Mỹ). Nguy cơ kẻ tấn công nhắm vào kết nối di động cũng thấp hơn so với Wi-Fi”.

Kết luận

Vậy là 76 ứng dụng trên App Store bị dính lỗ hổng bảo mật đã không nhận được sự phản hồi nào về phía Apple. Và những lỗi này chỉ có thể khắc phục tạm thời bởi người dùng. Còn sửa lỗi triệt để như thế nào ai sẽ nhận trách nhiệm. Chúng ta cùng chờ thêm thời gian nữa nhé.

BÌNH LUẬN

Please enter your comment!
Please enter your name here