Tất cả “dế” Android có nguy cơ rò rỉ dữ liệu
Hơn 99% điện thoại Android tiềm ẩn nguy cơ gây rò rỉ dữ liệu cá nhân của người dùng khi người dùng truy cập vào các ứng dụng của Google từ các mạng không dây không an toàn.
Ba nhà nghiên cứu Bastian Konings, Jens Nickels và Florian Schaub thuộc trường đại học Ulm đã khám phá ra điều này khi đang xem xét cách điện thoại Android xử lý thông tin đăng nhập trên các dịch vụ web.
Hiện Google chưa có bình luận gì về những lỗ hổng trên điện thoại sử dụng hệ điều hành Android của hãng.
Theo đó, nhiều ứng dụng được cài đặt trên điện thoại Android tương tác với các dịch vụ Google bằng cách yêu cầu mã xác thực- thực chất là một thẻ ID số dành cho ứng dụng đó. Mỗi lần thực hiện, mã xác thực sẽ loại bỏ các yêu cầu cần thiết để giữ cho việc đăng nhập vào một dịch vụ trong một thời khoảng thời gian nhất định.
Video đang HOT
Các mã xác thực này được gửi đi theo dạng nguyên bản qua mạng không dây. Do đó, các mã xác thực dễ dàng bị tội phạm mạng trộm được trên đường truyền Wi-Fi. Tội phạm mạng có thể sẽ giả như là một người dùng cụ thể và nhận thông tin cá nhân của họ.
Thậm chí tệ hơn là các nhà phát nghiên cứu phát hiện thấy, các mã xác thực không bị ràng buộc với các điện thoại cụ thể hay thời gian sử dụng. Vì vậy, chúng có thể được sử dụng bởi một điện thoại mạo nhận ở bất cứ nơi nào.
Kẻ xấu có thể truy cập đầy đủ vào lịch, thông tin liên lạc hoặc bộ sưu tập web cá nhân của người dùng Google. Chúng có thể thay đổi địa chỉ email được lưu trữ của ông chủ hoặc các đối tác doanh nghiệp của nạ.n nhâ.n với hy vọng nhận được tài liệu nhạy cảm hoặc bí mật liên quan tới công việc kinh doanh của họ.
Hiện chưa có ý kiến nào cho thấy các cuộc tấ.n côn.g đã khai thác lỗ hổng Android. Nhưng hầu hết các phiên bản của hệ điều hành Android đều thông qua mã xác thực không được mã hóa. Google đã khắc phục vấn đề này trong phiên bản Android 2.3.4 nhưng chỉ có 0,3% điện thoại Android hoạt động trên phiên bản này.
Một số dịch vụ của Google như trang chia sẻ hình ảnh Picasa vẫn sử dụng mã xác thực không được mã hóa, các mã này có thể bị đán.h cắp dễ dàng, nhóm nghiên cứu cho biết.
Vì vậy, họ đã khuyến cáo người dùng điện thoại Apple cập nhật lên phiên bản mới để tránh trở thành nạ.n nhâ.n của các cuộc tấ.n côn.g thông qua lỗ hổng này. Google cũng đang làm việc với các nhà mạng và nhà sản xuất điện thoại để cập nhật lên phiên bản Android 2.3.4 cho người dùng nhanh hơn hiện nay.
Theo VNMedia
Skype trên smartphone Android làm rò rỉ dữ liệu người dùng
Nhà nghiên cứu bảo mật khuyên người dùng nên gỡ bỏ ứng dụng Skype trên smartphone nền Android cho đến khi Skype cập nhật bản vá lỗ hổng.
Skype, nhà cung cấp dịch vụ thoại Internet, cho biết có một lỗ hổng trong ứng dụng Skype trên điện thoại thông minh (smartphone) dùng hệ điều hành Android. Lỗ hổng này sẽ tạo điều kiện cho tin tặc lấy cắp thông tin riêng tư, gồm tên và địa chỉ email, danh bạ liên lạc, nhật ký chat của người dùng.
Justin Case, một thành viên trong blog Android Police, đã phát hiện Skype trên điện thoại Android không hỗ trợ việc chặn truy cập các dữ liệu quan trọng lưu trên điện thoại. Các tập tin này chứa những thông tin về tài khoản Skype cũng như thông tin riêng của người dùng sở hữu smartphone, từ tên, ngày sinh cho đến số điện thoại và số dư tài khoản.
Skype đã mắc lỗi khi không cấp quyền kiểm soát và hoàn toàn không mã hóa những tập tin nói trên, điều này dẫn đến bất cứ ai và ứng dụng nào đều cũng có thể đọc dữ liệu. Case cũng tạo ra một ứng dụng Android để minh họa cách lấy dữ liệu và đưa ra lời cảnh báo cho người dùng là tin tặc cũng có thể khai thác lỗ hổng này.
Case cho biết, một nhà phát triển với ý đồ xấu có thể hiệu chỉnh ứng dụng có sẵn nói trên bằng cách đưa thêm mã nguồn (code), từ đó đẩy ứng dụng này lên Android Market và chỉ ngồi chờ luồng thông tin cá nhân của người dùng "ùa" vào.
Tháng vừa rồi, Google đã phát hiện hơn 50 ứng dụng bị nhiễm mã độc (malware) từ kho dữ liệu Android Market. Cách đây 3 tuần, AVAST - một công ty bảo mật của Cộng hòa Séc - cho biết có một phiên bản giả mạo của phần mềm "Walk and Text" đã thu thập thông tin cá nhân của người dùng và gửi đến người viết ứng dụng giả đó. Skype cũng thừa nhận có lỗ hổng về tính riêng tư đối với người dùng smartphone nền tảng Android. Công ty cho biết sẽ khắc phục, nhưng chưa đưa ra thời gian cụ thể.
Adrian Asher, Giám đốc bảo mật của Skype, cho biết công ty sẽ nhanh chóng vá lỗ hổng này, bằng cách cấp quyền bảo mật tập tin dùng với Skype hoạt động trên nền tảng Android. Cho tới cuối tuần trước, ứng dụng Skype trên điện thoại Android vẫn chưa được cập nhật. Asher khuyến cáo người dùng cũng nên cân nhắc lựa chọn ứng dụng nào sẽ tải về và cài đặt trên smartphone.
Chet Wisniewski, nhà nghiên cứu bảo mật của Sophos, cho biết rất khó để biết ứng dụng nào trong Android Market sẽ đán.h cắp thông tin Skype của người dùng. Do đó, cách tốt nhất là người dùng Android nên xóa Skype từ smartphone của mình. Wisniewski cũng không đồng tình với Case là Skype thật sự có lỗ hổng. Vấn đề này có thể xuất phát từ việc bảo mật tính riêng tư chưa được chú trọng đúng mức.
Theo Thông tin công nghệ