Kết quả nghiên cứu từ University of New Haven’s Cyber Forensics Research and Education Group (UNHcFREG) đầu năm nay phát hiện ra lỗ hổng trong ứng dụng nhắn tin WhatsApp và Viber. Tuy nhiên, sau khi mở rộng hoạt động phân tích, nhóm này còn tìm thấy nhiều ứng dụng khác có nguy cơ bảo mật. Nhóm cho biết sẽ phát hành một video vào tuần này trên kênh YouTube của họ để làm nổi bật những phát hiện, có thể ảnh hưởng đến gần 1 tỉ người sử dụng.
Trao đổi với Journal of Digital Forensics, Security and Law, người đứng đầu của UNHcFREG, Ibrahim Baggili, cho rằng các nhà phát triển ứng dụng đang khá cẩu thả. Thông qua công cụ phân tích lưu lượng truy cập như Wireshark và NetworkMiner, các nhà nghiên cứu đã phát hiện những hoạt động lưu trữ và truyền dữ liệu trên các ứng dụng đó.
Ví dụ, ứng dụng Instagram của Facebook vẫn chứa hình ảnh trên máy chủ không được mã hóa, cho phép truy cập mà không cần xác thực. Họ tìm thấy cùng một vấn đề trên các ứng dụng như ooVoo, MessageMe, Tango, Grindr, HeyWire và textPlus khi bức ảnh được gửi từ những người dùng khác.
Theo Baggili cho biết, những dịch vụ này đã được lưu trữ nội dung với liên kết http, sau đó được chuyển tiếp đến người dùng. Chỉ cần ai biết được liên kết này là có thể truy cập vào các hình ảnh đã được gửi. Trong khi các dịch vụ không đảm bảo hình ảnh nhanh chóng bị xóa trên máy chủ của họ.
Nhiều ứng dụng cũng không mã hóa bản ghi cuộc trò chuyện trên thiết bị, bao gồm cả ooVoo, Kik, Nimbuzz và MeetMe. Điều đó đặt ra một nguy cơ nếu ai đó làm mất thiết bị, kẻ gian có thể mở để xem tất cả tin nhắn chat được gửi qua lại.
Điều đáng nói là các ứng dụng đã không sử dụng giao thức mã hóa SSL/TLS (Secure Sockets Layer/Transport Layer Security) với chứng nhận kĩ thuật số để mã hóa lưu lượng truy cập dữ liệu. Tin tặc có thể chặn lưu lượng truy cập không được mã hóa qua Wi-Fi nếu nạn nhân truy cập ở nơi công cộng thông qua cuộc tấn công được gọi là main-in-the-middle. SSL/TLS được coi là biện pháp phòng ngừa an toàn cơ bản, mặc dù trong một số trường hợp nó có thể bị phá vỡ.
Theo video trình diễn, ứng dụng của OkCupid, được sử dụng bởi khoảng 3 triệu người, không mã hóa các cuộc trò chuyện qua SSL, và các nhà nghiên cứu đã có thể nhìn thấy văn bản được gửi đến và đi.
Baggili cho biết nhóm của ông đã liên hệ với các nhà phát triển ứng dụng mà họ nghiên cứu, nhưng hầu như chưa nhận được phản hồi.
Nguồn PC World.
Bình luận