Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Ứng dụng điện thoại xây dựng trên nền tảng BaaS để lộ dữ liệu người dùng
Các chuyên gia đến từ Đại học Kỹ thuật tại Darmstadt, Đức vừa tiến hành nghiên cứu với hơn 2 triệu ứng dụng điện thoại xây dựng trên nền tảng dịch vụ đám mây BaaS (Backend-as-a-Service). Kết quả cho thấy, các ứng dụng này có thể để lộ 56 triệu bản ghi dữ liệu của người dùng.
Các dịch vụ BaaS như Facebook Parse, Amazon Web Services (AWS) và Cloudmine cho phép các nhà phát triển ứng dụng điện thoại xây dựng các back-end server (phần dành cho quản trị) phức tạp cho ứng dụng từ các API đơn giản. Mục đích là để đơn giản hóa cách thức phát triển các tính năng ứng dụng phức tạp, đồng thời cắt giảm thời gian và chi phí.
Nghiên cứu được các nhà phát triển Đức giới thiệu tại hội thảo Black Hat Europe 2015. Theo đó, vấn đề đã được phát hiện và ảnh hưởng tới các nhà phát triển ứng dụng trong quá khứ, nhưng đã diễn biến trầm trọng hơn do sự phát triển rộng rãi của các dịch vụ đám mây nói chung.
Nguyên nhân của vấn đề đến từ việc thông tin xác thực được lưu trong mã nguồn ứng dụng. Mặc dù trên một số ứng dụng, thông tin này được làm rối, đa số có thể bị dịch ngược một cách dễ dàng.
Điều này có thể khiến dữ liệu của người dùng bị lộ lọt, đồng thời máy chủ của những nhà phát triển cũng phải đối diện với nguy cơ bị tấn công.
Hàng nghìn ứng dụng bị ảnh hưởng, hàng triệu bản ghi dữ liệu có thể bị lộ lọt
Theo các chuyên gia Đức, việc thông tin xác thực trên đám mây được hardcode là một vấn đề nghiêm trọng. Để tính số lượng ứng dụng và người dùng bị ảnh hưởng, các chuyên gia đã xây dựng hệ thống đặc biệt để phân tích trên 2 triệu ứng dụng Android và iOS.
Sử dụng công cụ này, các chuyên gia đã phát hiện ra trên 56 triệu bản ghi dữ liệu cá nhân bị lộ trên hàng nghìn ứng dụng, bao gồm thông tin nhạy cảm của hàng triệu người dùng, như mật khẩu, tên thật, thông tin tài khoản, thông tin sức khỏe, số điện thoại, ảnh…
Trong một trường hợp, các chuyên gia thậm chí phát hiện dữ liệu về một chiến dịch mã độc, trojan điện thoại sử dụng dịch vụ BaaS cho các back-end.
Vấn đề đã được thông báo tới Google và Apple
Bởi mức ảnh hưởng nghiêm trọng của vấn đề, các chuyên gia đã làm việc với CERT. Cơ quan này sau đó thông báo cho Google và Apple về các kết quả nghiên cứu của họ.
Tuy nhiên sau khi chạy lại công cụ, một vài ngày trước khi trình bày tại Hội thảo, các chuyên gia Đức phát hiện chỉ khoảng 4 triệu bản ghi dữ liệu cá nhân bị loại bỏ. Và hiện tại, có khoảng 52 triệu bản ghi dữ liệu vẫn có thể truy cập được.
Như vậy, các nhà phát triển không chỉ thiếu quan tâm tới chính sách an ninh cho người dùng mà còn không biết cách để thực hiện điều đó.
Nguồn: Softpedia
Các dịch vụ BaaS như Facebook Parse, Amazon Web Services (AWS) và Cloudmine cho phép các nhà phát triển ứng dụng điện thoại xây dựng các back-end server (phần dành cho quản trị) phức tạp cho ứng dụng từ các API đơn giản. Mục đích là để đơn giản hóa cách thức phát triển các tính năng ứng dụng phức tạp, đồng thời cắt giảm thời gian và chi phí.
Nghiên cứu được các nhà phát triển Đức giới thiệu tại hội thảo Black Hat Europe 2015. Theo đó, vấn đề đã được phát hiện và ảnh hưởng tới các nhà phát triển ứng dụng trong quá khứ, nhưng đã diễn biến trầm trọng hơn do sự phát triển rộng rãi của các dịch vụ đám mây nói chung.
Nguyên nhân của vấn đề đến từ việc thông tin xác thực được lưu trong mã nguồn ứng dụng. Mặc dù trên một số ứng dụng, thông tin này được làm rối, đa số có thể bị dịch ngược một cách dễ dàng.
Điều này có thể khiến dữ liệu của người dùng bị lộ lọt, đồng thời máy chủ của những nhà phát triển cũng phải đối diện với nguy cơ bị tấn công.
Hàng nghìn ứng dụng bị ảnh hưởng, hàng triệu bản ghi dữ liệu có thể bị lộ lọt
Theo các chuyên gia Đức, việc thông tin xác thực trên đám mây được hardcode là một vấn đề nghiêm trọng. Để tính số lượng ứng dụng và người dùng bị ảnh hưởng, các chuyên gia đã xây dựng hệ thống đặc biệt để phân tích trên 2 triệu ứng dụng Android và iOS.
Sử dụng công cụ này, các chuyên gia đã phát hiện ra trên 56 triệu bản ghi dữ liệu cá nhân bị lộ trên hàng nghìn ứng dụng, bao gồm thông tin nhạy cảm của hàng triệu người dùng, như mật khẩu, tên thật, thông tin tài khoản, thông tin sức khỏe, số điện thoại, ảnh…
Trong một trường hợp, các chuyên gia thậm chí phát hiện dữ liệu về một chiến dịch mã độc, trojan điện thoại sử dụng dịch vụ BaaS cho các back-end.
Vấn đề đã được thông báo tới Google và Apple
Bởi mức ảnh hưởng nghiêm trọng của vấn đề, các chuyên gia đã làm việc với CERT. Cơ quan này sau đó thông báo cho Google và Apple về các kết quả nghiên cứu của họ.
Tuy nhiên sau khi chạy lại công cụ, một vài ngày trước khi trình bày tại Hội thảo, các chuyên gia Đức phát hiện chỉ khoảng 4 triệu bản ghi dữ liệu cá nhân bị loại bỏ. Và hiện tại, có khoảng 52 triệu bản ghi dữ liệu vẫn có thể truy cập được.
Như vậy, các nhà phát triển không chỉ thiếu quan tâm tới chính sách an ninh cho người dùng mà còn không biết cách để thực hiện điều đó.
Nguồn: Softpedia