Các chuyên gia vừa phát hiện một lỗi bảo mật OAuth 2.0 có thể cho phép hacker ăn cắp thông tin và chiếm quyền kiểm soát ứng dụng Android trên smartphone của người dùng. Điều đáng lo ngại là các ứng dụng bị nghi gặp lỗi này hiện đã có tới hơn 1 tỉ lượt tải, đồng nghĩa với việc đang có tới hàng triệu người dùng Android có nguy cơ bị xâm nhập trái phép.

Các chuyên gia vừa phát hiện một lỗi bảo mật OAuth 2.0 có thể cho phép hacker ăn cắp thông tin và chiếm quyền kiểm soát ứng dụng Android trên smartphone của người dùng. Điều đáng lo ngại là các ứng dụng bị nghi gặp lỗi này hiện đã có tới hơn 1 tỉ lượt tải, đồng nghĩa với việc đang có tới hàng triệu người dùng Android có nguy cơ bị xâm nhập trái phép.

Lo hong moi khien hang trieu thiet bi Android gap nguy hiem - Anh 1

Theo IBTimes, các nhà nghiên cứu tới từ Đại học Hong Kong (Trung Quốc) vừa phát hiện ra một lỗ thổng trên giao thức OAuth 2.0, vốn được dùng để cho phép người dùng đăng nhập nhanh vào các ứng dụng của bên thứ 3 thông qua các tài khoản như Facebook thay vì tạo tài khoản mới. Trong số 600 ứng dụng Android phổ biến nhất hiện nay trên Google Play ở Mĩ và Trung Quốc, có khoảng 182 ứng dụng có hỗ trợ đăng nhập một lần thông qua tài khoản Facebook, Google và Weibo.

Giao thức OAuth 2.0 ban đầu chỉ được thiết kế cho các trang web. Tuy nhiên, các nhà nghiên cứu đã phát hiện ra rằng nhiều nhà phát triển ứng dụng đã cố gắng nhồi nhét OAuth 2.0 vào ứng dụng của mình như là một cách để giúp người dùng có thể đăng nhập nhanh.

Khi bạn muốn đăng nhập nhanh vào một ứng dụng, ví dụ như ứng dụng xem và đánh giá phim IMDB, ứng dụng sẽ yêu cầu Facebook xác thực và máy chủ của Facebook sẽ phản hồi bằng cách gửi lại một token đăng nhập. Tuy nhiên, trên nhiều ứng dụng Android, các nhà phát triển lại không kiểm tra được các thông tin mà ứng dụng gửi đi cho Facebook có chính xác hay không.

Điều nguy hiểm là các chuyên gia đã phát hiện ra rằng đôi khi các ứng dụng sẽ tự động đăng nhập kể cả khi các thông tin được gửi về không trùng với tài khoản của người dùng vì lỗi bảo mật trên giao thức OAuth 2.0.

Bên cạnh đó, tại hội nghị Black Hat Châu Âu 2016, các chuyên gia cũng chứng minh được rằng nếu các hacker biết được địa chỉ email liên kết với tài khoản Facebook của bạn, họ có thể sử dụng phương thức tấn công người đứng giữa (man-in-the-midle attack) để thay thế hồ sơ của bạn thành hồ sơ của họ để đăng nhập vào ứng dụng. Điều này sẽ rất nguy hiểm nếu hacker có được quyền xâm nhập vào các ứng dụng có quyền sử dụng thẻ tín dụng để mua sắm trên mạng hoặc mạo danh bạn trong các ứng dụng chat.

Yang Ronghai, nhà nghiên cứu tới từ Đại học Hong Kong nhận định rằng không thể chỉ đổ lỗi cho các nhà phát triển ứng dụng về lỗ hổng bảo mật này. Các nhà cung cấp dịch vụ nhận dạng như Facebook, Google hay Weibo cũng có một phần trách nhiệm.

"Các nhà cung cấp dịch vụ nhận dạng như Facebook đã không cung cấp hướng dẫn rõ ràng cho các nhà phát triển ứng dụng bên thứ 3. Sau khi chúng tôi báo cáo vấn đề cho Facebook, Google và Weibo, họ đều thừa nhận cần phải cải thiện các hướng dẫn", ông Yang cho biết, "Khi nhận được bằng chứng xác thực, ví dụ như token của Facebook, các nhà phát triển ứng dụng nên sử dụng thêm một xác minh liên máy chủ và không nên sử dụng trực tiếp thông tin của người dùng. Nói cách khác, máy chủ back-end của ứng dụng nên sử dụng thông tin đăng nhập nhận được từ máy chủ back-end của nhà cung cấp dịch vụ nhận dạng để xác minh người dùng".

Nguyễn Long