Hàng ngàn từ khóa bí mật trong các ứng dụng Android có thể được sử dụng để ăn cắp dữ liệu người dùng, Columbia Engineering cho biết.

Nhóm nhà nghiên cứu tạo ra một ứng dụng gọi là PlayDrone, đồng thời sử dụng các kĩ thuật hack khác nhau phá vỡ hệ thống bảo mật của Google để tải về thành công ứng dụng trên Google Play và phục hồi các nguồn.

Họ còn phát hiện ra rằng các nhà phát triển thường lưu trữ khóa bí mật trong các phần mềm ứng dụng, tương tự như tên người dùng/mật khẩu. Tin tặc có thể lợi dụng lỗ hổng này để ăn cắp dữ liệu người dùng từ Facebook, Amazon và các trang khác bằng cách sử dụng khóa bí mật đó.

PlayDrone được cài đặt trên nhiều máy chủ và nó đủ nhanh để thu thập thông tin Google Play hàng ngày, tải về hơn 1,1 triệu ứng dụng Android, trong đó có hơn 880.000 ứng dụng miễn phí. Lỗ hổng bảo mật này có thể ảnh hưởng đến người dùng ngay cả khi họ không chủ động chạy các ứng dụng Android.

Jason Nieh, giáo sư khoa học máy tính tại Columbia Engineering cho biết Google Play có hơn một triệu ứng dụng và hơn 50 tỉ lượt tải về, nhưng không ai đánh giá chính xác những gì được đưa lên Google Play. Bất cứ ai cũng có thể có tài khoản 25 USD trong tài khoản để tải về những thứ mình muốn. Rất ít thông tin tổng hợp về các chương trình trên Google Play, và lỗ hổng có thể đem đến rủi ro cao cho hàng triệu người sử dụng.

The Columbia Engineering Team found thousands of secret keys in android apps (shown bi red arrows) that could be used to steal user data

Nhóm nghiên cứu đã làm việc với Google, Facebook và các nhà sản xuất ứng dụng khác để sửa chữa lỗi này trước khi tiết lộ nó nhằm bảo mật thông tin của hàng triệu người dùng.

Theo giáo sư Nieh, Google hiện đang sử dụng các kĩ thuật của họ để chủ động quét các ứng dụng nhằm ngăn chặn điều này xảy ra một lần nữa trong tương lai. Các nhà phát triển cũng đã nhận được thông báo sửa chữa ứng dụng từ Google và gỡ bỏ các khóa bí mật ra khỏi ứng dụng của mình.

Nguồn DailyMail.