• Thứ Bảy, 15/01/2011 08:01 (GMT+7)

    “Lỗ hổng” từ ứng dụng trên smartphone

    Hồng Anh
    Thiết bị di động nói chung và điện thoại thông minh nói riêng đang trở thành mục tiêu lớn hơn bao giờ hết cho các “lò” sản xuất phần mềm nguy hại.

    Đầu năm 2009, tập đoàn ngân hàng - tài chính Citigroup (Mỹ) đã giới thiệu một ứng dụng ngân hàng điện tử dành riêng cho “quả táo” iPhone, qua đó giúp khách hàng sử dụng chiếc điện thoại thông minh (smartphone) của Apple có thể kiểm tra số dư tài khoản và thanh toán hóa đơn trực tuyến. Song thật đáng tiếc, ứng dụng này lại chứa vài đoạn mã lệnh được viết quá cấu thả nên cũng cho phép tin tặc dễ dàng truy xuất thông tin tài khoản của hơn 118.000 khách hàng đã tải về ứng dụng này.

    Sự cố của ứng dụng Citigroup chỉ là 1 phần nhỏ trong làn sóng tấn công các ứng dụng di động được tin tặc khuấy động, đặc biệt khi Internet và mạng dữ liệu tốc độ cao (như 3G và thậm chí 4G) đang trở nên đại trà cũng như khả năng làm việc cộng tác giữa ứng dụng và thiết bị di động được cải thiện đáng kể.

    Ngày nay, smartphone thực sự trở thành một máy tính cá nhân nhỏ gọn, được hoàn thiện với hệ điều hành và - trong nhiều trường hợp - có khả năng truy xuất trực tiếp đến các mạng nội bộ tại các doanh nghiệp, tổ chức, cơ quan nhà nước. Tất cả đã bổ sung gia vị để “ướp” chiếc smartphone của người dùng thành miếng mồi thơm lừng cho tội phạm bảo mật (tham khảo thêm tại www.pcworld.com.vn/A1002_18 và www.pcworld.com.vn/O002_3)
    Quay lại với sự cố tại Citigroup, hãng đã phát hiện ra lỗ hổng bảo mật trên vào tháng 6 sau đó trước khi tin tặc có thể khai thác chúng, đồng thời khẳng định không một khách hàng nào bị mất tiền oan từ sự vụng về trong quá trình viết ứng dụng này. Tuy nhiên, nhiều chuyên gia cho rằng, doanh nghiệp cần tiếp tục đề phòng bởi tin tặc sẽ nhanh chân hơn để khai thác các sai sót trong mã nguồn của các ứng dụng ở những cơ hội kế tiếp. “Kẻ xấu - tức tin tặc - luôn đi theo tiếng gọi của đồng tiền”, ông Charlie Miller, phân tích viên chính tại công ty tư vấn Independent Security Evaluators, “Tội phạm đang bắt đầu để mắt đến điện thoại di động”.

    Tuy nhiên, số lượng các cuộc tấn công nhắm vào smartphone vẫn còn ít. Theo công ty bảo mật F-Secure, dù các chuyên gian bảo mật khám phá ra hàng trăm mã độc mới hướng đến máy tính mỗi ngày, trong khi chỉ có 67 mối nguy hiểm cho smartphone được phát hiện tính từ đầu năm 2010 đến giữa tháng 10/2010. Dù vậy, con số này gần như đã tăng gấp đôi so với năm 2009, và điều này có nghĩa là các thiết bị di động trong đó có smartphone đang trở thành một mục tiêu lớn. Phân tích viên Mary Meeker tại công ty nghiên cứu thị trường Morgan Stanley dự báo, số lượng smartphone bán ra sẽ “qua mặt” máy tính xách tay và netbook trong năm nay, thậm chí sẽ làm lu mờ số lượng bán ra của toàn mảng kinh doanh máy tính cá nhân (trong đó có máy tính để bàn) vào năm 2012.

    Số lượng nạn nhân từ các phần mềm nguy hại (malware) trên smartphone tăng cao chính là cơ hội của các hãng bảo mật. Phân tích viên Jeff Wilson tại Infonetics Research dự báo doanh thu trên phạm vi toàn cầu của phần mềm bảo mật cho thiết bị di động sẽ tăng từ con số 219 triệu USD trong năm ngoái lên gần 1,4 tỷ USD vào năm 2013. Có thể nhận thấy, sức nóng của thị trường bảo mật trên TBDĐ chính là động cơ chính đằng sau thương vụ Intel mua lại hãng bảo mật McAfee hồi tháng 8 vừa qua.

    Dẫu vậy, doanh thu từ phần mềm bảo mật cho TBDĐ hiện chỉ chiếm dưới 5% trong tổng doanh thu của các hãng sản xuất phần mềm phòng chống virus và bảo mật truyền thống như Kaspersky Lab, Symantec và McAfee. Tuy nhiên, theo thời gian, điều này chắc chắn sẽ thay đổi. Theo công ty nghiên cứu thị trường IDC, thị trường bảo mật di động sẽ dậy sóng trong vài tháng tới khi các HĐH di động linh hoạt hơn trong việc cho phép các hãng bảo mật tích hợp giải pháp lên thiết bị đầu cuối của người dùng, cũng như hỗ trợ nhiều giải pháp bảo mật cùng “tác nghiệp” trên cùng 1 thiết bị. 

    Tiện ích ngân hàng trực tuyến trên smartphone sẽ lọt vào tầm ngắm của tin tặc trong thời gian tới.
    Phần nhiều sự tập trung của các hãng bảo mật, trong thời gian tới, hầu như sẽ hướng vào các ứng dụng trên nền Android. Theo ông David Goldschlag, Phó chủ tịch phụ trách mảng sản phẩm dành cho di động tại McAfee, thì không chỉ được đánh giá là HĐH di động phát triển nhanh nhất, Google Android cũng có thể xem là HĐH “hớ hênh” nhất đối với tin tặc. Không giống như Apple ở việc kiểm tra các ứng dụng trước khi cho phép người dùng tải về và cài đặt trên iPhone, Google không kiểm tra các ứng dụng được cung cấp trên Android Market. Và điều này không ít thì nhiều đã tạo sự dễ dàng cho tin tặc tạo ra các ứng dụng có chức năng giám sát, theo dõi người dùng hay truy xuất trái phép các tính năng trên điện thoại. Ví dụ, một phần mềm có dụng ý xấu, bên cạnh tính năng chính - như tính toán cước phí sử dụng mạng dữ liệu, sẽ âm thầm chuyển tiếp toàn bộ tin nhắn trên smartphone của người dùng cho tin tặc. Ở góc độ nào đó, những tin nhắn tưởng chừng vô hại này lại chứa nhiều thông tin nhạy cảm và cá nhân như chi tiết tài khoản, lịch hẹn,… và điều này đặc biệt nghiêm trọng khi ngày càng nhiều người dùng sử dụng các dịch vụ ngân hàng điện tử thông qua TBDĐ.

    Ngoài ra, cũng có tin tặc thiết kế các ứng dụng được tích hợp “lén” vào điện thoại của người dùng, sau đó chúng lặng lẽ thực hiện những cuộc gọi có trả phí (hay thậm chí đường dài quốc tế). Hậu quả là, người dùng nhận được 1 hóa đơn dài ngoằng - khi này, mọi chuyện đã muộn. Công ty bảo mật SMobile Systems - hiện do Juniper Networks sở hữu, dự báo có khoảng 2% ứng dụng trên Android Market hiện có khả năng gửi tin nhắn mà chủ nhân của TBDĐ không hề hay biết, trong khi đó có khoảng 5% ứng dụng có thể tự ý thực hiện cuộc gọi.

    Bất chấp những điều kể trên, nhiều người dùng vẫn không xem phần mềm bảo mật là cần thiết cho ĐTDĐ như trên máy tính cá nhân. Thay vào đó, người dùng smartphone sẵn lòng chi tiền cho các ứng dụng hay dịch vụ liên quan đến bảo mật khác như sao lưu dữ liệu hay định vị một chiếc điện thoại bị thất lạc. Để tạo ra sự khác biệt đồng thời hấp dẫn khách hàng, những hãng bảo mật tích hợp giải pháp phòng chống virus với các tính năng dụng kể trên. Tháng 7 vừa qua, McAfee đã mua lại công ty tenCube, hiện đang vận hành 1 dịch vụ giúp định vị điện thoại thất lạc bằng cách sử dụng khả năng định vị GPS trên chính thiết bị đó. Còn trong tháng trước, Symantec cho biết đã bắt đầu cập nhật tiện ích phòng chống virus dành cho iPhone và Android, cho phép người dùng từ xa thực hiện thao tác xóa dữ liệu trên điện thoại bị đánh cắp hay thất lạc. Công ty SMobile Systems cho biết đã trang bị tính năng tương tự cho tiện ích phòng chống virus của mình.

    Một tương lai mới đang mở ra cho ngành bảo mật trên TBDĐ, tuy nhiên, con đường phát triển không mấy dễ dàng. Theo ông John Hering, Giám đốc điều hành công ty bảo mật Lookup, những hãng bảo mật có tiếng trước đây như Symantec và McAfee vẫn chưa có chỗ đứng trong lĩnh vực này, thay vào đó một công ty bảo mật xuất sắc trong tương lai sẽ được xây dựng trên không gian di động.

    ID: A1012_10