[News] – Điểm yếu trong việc áp dụng giao thức bảo mật SSL trên Android

Phương thức thông dụng nhất để bảo vệ luồng dữ liệu truyền tải qua mạng trên nền tảng Android thường là SSL hay TLS ( Secure Sockets Layer và Transport Layer Security ). Hiện có hàng ngàn ứng dụng trên sàn giao dịch ứng dụng Google Play đang áp dụng phương thức này 

Một nhóm các nhà nghiên cứu từ các trường đại học về kĩ nghệ khoa học hàng đầu của Hoa Kỳ đã có một nghiên cứu về việc các ứng dụng Android hiện nay chứa hàng loạt sai lầm đáng ngại trong cách ứng dụng SSL/TLS vào việc bảo mật dữ liệu truyền tải qua mạng, điều này dẫn tới khả năng xảy ra các cuộc tấn công kiểu Man-in-the-Middle -1- sẽ khiến các thông tin, dữ liệu nhạy cảm của người dùng như tài khoản giao dịch ngân hàng, thông tin cá nhân, tài liệu mật, bị đánh cắp khi người dùng sử dụng các ứng dụng Android tưởng chừng an toàn này 

Nhóm nghiên cứu đã thử nghiệm trên 100 ứng dụng được lựa chọn từ Android market, và họ đã xác định được 41 ứng dụng trong số đó có khả năng bị tấn công đánh cắp thông tin ( tỷ lệ 41% ). Các nhà nghiên cứu đã tạo ra một công cụ tấn công thử nghiệm gọi là MalloDroid, được thiết kế chuyên biệt để khai thác các lỗi về ứng dụng sai cách SSL/TLS trong các ứng dụng android, giúp chỉ ra các ứng dụng này hiện đang khiến người dùng gặp nguy cơ bị đánh cắp dữ liệu mật như thế nào 

Họ đã thành công trong việc thu thập các dữ liệu mật của người dùng các ứng dụng bị lỗi áp dụng sai SSL/TLS như Tài khoản ngân hàng, tài khoản các dịch vụ online như Facebook, Twitter, Google, Yahoo, Microsoft Live ID, Box, WordPress, tài khoản truy cập các máy chủ quan trọng, các địa chỉ email chứa thông tin quan trọng… 
Nghiên cứu cũng cho thấy việc hoàn toàn có thể chèn và kích hoạt mã độc từ xa vào các ứng dụng android bị lập trình sai dẫn tới áp dụng sai giao thức SSL/TLS. Các tác giả đã cung cấp rộng rãi nghiên cứu này với tên “Why Eve and Mallory Love Android: An Analysis of Android (In)Security“. 

Điều quan trọng cần phải nắm là: đây là vấn đề cực kỳ nghiêm trọng, các lập trình viên với trách nhiệm của mình phải tuân thủ đúng các chỉ dẫn khi áp dụng giao thức SSL/TLS để tránh tạo các lỗ hổng để hacker khai thác và đánh cắp thông tin mật của người dùng. Đồi với những ai còn đang tự hỏi SSL là gì thì vui lòng tham khảo tài liệu “Beginner Guide to SSL Certificates”.

(Theo The Hacker News)

Giải thích thuật ngữ: 
Phương thức tấn công Man-in-the-Middle: thường hay được viết tắt là MITM, là kiểu tấn công mà tin tặc tìm cách đứng chặn ngay giữa hai máy tính đang truyền tải dữ liệu để lấy cắp thông tin đang truyền tải. Cách vốn hữu hiệu nhất để ngăn MITM là áp dụng SSL đúng cách, lúc này tin tặc có đánh cắp được tất cả các gói tin trung chuyển qua internet thì cũng không có cách gì giải mã được do nó đã bị mã hóa.

Lời khuyên cá nhân: 
Các lỗi áp dụng sai giao thức SSL/TLS này thực sự không mới, bản thân nền tảng android cũng không yêu cầu nghiêm ngặt trong việc phải áp dụng SSL/TLS một cách đúng đắn, điều này làm Android tỏ ra thua kém khi so sánh với nền tảng iOS. 
Đây là lúc cần cảnh báo người dùng, để an toàn, nên tránh sử dụng internet cho các công việc quan trọng như chuyển khoản ngân hàng tại các điểm truy cập internet công cộng. Sẽ an toàn hơn nếu bạn sử dụng kết nối Cellgular ví dụ như 4G LTE, 3G, EDGE, GPRS… thay vì kết nối vào các mạng wifi công cộng.

Advertisements

About Argron Nguyen's Blog

Vietnamese. Photographer. Writer. Illustrator. IT-er. All to some extent.

Posted on 21.10.2012, in News. Bookmark the permalink. Bạn nghĩ gì về bài viết này?.

Trả lời

Mời bạn điền thông tin vào ô dưới đây hoặc kích vào một biểu tượng để đăng nhập:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Đăng xuất / Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Đăng xuất / Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Đăng xuất / Thay đổi )

Google+ photo

Bạn đang bình luận bằng tài khoản Google+ Đăng xuất / Thay đổi )

Connecting to %s

%d bloggers like this: