Nhà nghiên cứu bảo mật khuyên người dùng nên gỡ bỏ ứng dụng Skype trên smartphone nền Android cho đến khi Skype cập nhật bản vá lỗ hổng.

Skype, nhà cung cấp dịch vụ thoại Internet, cho biết có một lỗ hổng trong ứng dụng Skype trên điện thoại thông minh (smartphone) dùng hệ điều hành Android. Lỗ hổng này sẽ tạo điều kiện cho tin tặc lấy cắp thông tin riêng tư, gồm tên và địa chỉ email, danh bạ liên lạc, nhật kí chat của người dùng.

Justin Case, một thành viên trong blog Android Police, đã phát hiện Skype trên điện thoại Android không hỗ trợ việc chặn truy cập các dữ liệu quan trọng lưu trên điện thoại. Các tập tin này chứa những thông tin về tài khoản Skype cũng như thông tin riêng của người dùng sở hữu smartphone, từ tên, ngày sinh cho đến số điện thoại và số dư tài khoản.

Skype đã mắc lỗi khi không cấp quyền kiểm soát và hoàn toàn không mã hóa những tập tin nói trên, điều này dẫn đến bất cứ ai và ứng dụng nào đều cũng có thể đọc dữ liệu. Case cũng tạo ra một ứng dụng Android để minh họa cách lấy dữ liệu và đưa ra lời cảnh báo cho người dùng là tin tặc cũng có thể khai thác lỗ hổng này.

Case cho biết, một nhà phát triển với ý đồ xấu có thể hiệu chỉnh ứng dụng có sẵn nói trên bằng cách đưa thêm mã nguồn (code), từ đó đẩy ứng dụng này lên Android Market và chỉ ngồi chờ luồng thông tin cá nhân của người dùng “ùa” vào.

Tháng vừa rồi, Google đã phát hiện hơn 50 ứng dụng bị nhiễm mã độc (malware) từ kho dữ liệu Android Market. Cách đây 3 tuần, Avast - một công ty bảo mật của Cộng hòa Séc - cho biết có một phiên bản giả mạo của phần mềm “Walk and Text” đã thu thập thông tin cá nhân của người dùng và gửi đến người viết ứng dụng giả đó. Skype cũng thừa nhận có lỗ hổng về tính riêng tư đối với người dùng smartphone nền tảng Android. Công ty cho biết sẽ khắc phục, nhưng chưa đưa ra thời gian cụ thể.

Adrian Asher, Giám đốc bảo mật của Skype, cho biết công ty sẽ nhanh chóng vá lỗ hổng này, bằng cách cấp quyền bảo mật tập tin dùng với Skype hoạt động trên nền tảng Android. Cho tới cuối tuần trước, ứng dụng Skype trên điện thoại Android vẫn chưa được cập nhật. Asher khuyến cáo người dùng cũng nên cân nhắc lựa chọn ứng dụng nào sẽ tải về và cài đặt trên smartphone.

Chet Wisniewski, nhà nghiên cứu bảo mật của Sophos, cho biết rất khó để biết ứng dụng nào trong Android Market sẽ đánh cắp thông tin Skype của người dùng. Do đó, cách tốt nhất là người dùng Android nên xóa Skype từ smartphone của mình. Wisniewski cũng không đồng tình với Case là Skype thật sự có lỗ hổng. Vấn đề này có thể xuất phát từ việc bảo mật tính riêng tư chưa được chú trọng đúng mức.

Cập nhật: bản Skype for Android mới nhất 1.0.0.983 phát hành ngày 20/4 đã vá lỗi này.

Theo PCWorld VN