Điện thoại di động nói riêng và thiết bị đi động nói chung đã và đang trở thành một phương tiện thiết yếu hàng ngày của mỗi cá nhân hiện nay bởi các tính năng hữu ích mà chúng đem lại như: liên lạc, định vị vệ tinh GPS, khả năng đa phương tiện (ảnh, phim, ghi âm và truyền dữ liệu), xử lý dữ liệu, truy cập Internet.... Cùng với việc thiết bị di động được phát triển nhiều trên nền tảng khác nhau (Java, Android, iOS, RIMS…) là sự phát triển của các ứng dụng di động đang dần len lỏi vào mọi mặt của đời sống, phục vụ nhu cầu học tập, giải trí, kinh doanh. Bên cạnh các tiện ích mà các ứng dụng di động mang lại, thì chúng luôn tiềm ẩn nhiều các nguy cơ gây mất an toàn thông tin.
Trên thực tế, những mối hiểm họa đe doạ mất an toàn thiết bị thường rất khó nhận biết và phòng tránh. Nội dung sau đây sẽ trình bày một số rủi ro rất dễ gặp và các khuyến nghị đảm bảo an toàn khi cài đặt và sử dụng các ứng dụng trên điện thoại di động.
Nguy cơ mất an toàn ứng dụng di động
Bên cạnh những giá trị to lớn mà các ứng dụng di động mang lại, thì các ứng dụng di động cũng có nhiều các nguy cơ tiềm ẩn như: ứng dụng tự động gửi SMS rút tiền từ tài khoản người dùng, lây nhiễm mã độc làm hư hại thiết bị, truy cập đánh cắp các thông tin dữ liệu.... Các thiết bị di động thường sử dụng các giao thức mạng không dây phổ biến như Wi-Fi và Bluetooth để kết nối. Tuy nhiên, các giao thức này đều tồn tại các lỗ hổng bảo mật và dễ bị tấn công bằng cách sử dụng các công cụ sẵn có như Wifite hoặc Aircrack-ng.
Bên cạnh đó, các lỗ hổng trên thiết bị cũng có thể xuất phát từ phía nhà sản xuất. Ví dụ, bàn phím SwiftKey trong các thiết bị Android của Samsung đã từng được chứng minh là dễ bị tấn công nghe lén. Tương tự, hệ điều hành iOS của thiết bị Apple cũng được phát hiện có tồn tại các lỗ hổng, mà một trong số đó là “No iOS Zone” - lỗ hổng cho phép tin tặc làm treo các thiết bị iPhone, iPad hoặc iPod Touch bằng sóng Wifi.
Tương tự như lỗ hổng hệ thống, các ứng dụng của bên thứ ba trên thiết bị di động cũng có thể bị lỗi thời. Một số nhà phát triển ứng dụng không phát hành bản cập nhật phần mềm kịp thời hoặc có thể giảm hỗ trợ cho các phiên bản hệ điều hành cũ hơn. Sử dụng phần mềm đã lỗi thời làm tăng nguy cơ kẻ tấn công có thể khai thác lỗ hổng liên quan đến phần mềm này.
Những kẻ tấn công thường sử dụng các kỹ thuật xã hội để lừa người dùng cài đặt các ứng dụng độc hại, có thể qua một liên kết trong tin nhắn, một siêu liên kết rút gọn hoặc một ứng dụng giả mạo. Các ứng dụng độc hại có thể thực hiện các hành vi độc hại khi được cài đặt trên thiết bị như lấy cắp dữ liệu, tải xuống phần mềm độc hại hoặc thậm chí điều khiển thiết bị từ xa. Những hành vi này có thể dẫn đến tổn thất về tài chính hoặc các hình thức tổn thất hữu hình hoặc vô hình khác cho cá nhân/ tổ chức.
Nguy cơ lấy cắp thông tin danh bạ từ các ứng dụng trên điện thoại
Đảm bảo an toàn ứng dụng di động
Có nhiều phương pháp để đánh giá và kiểm tra an toàn ứng dụng di động như phân tích động và phân tích tĩnh ứng dụng để tìm ra lỗ hổng, đánh giá an toàn phần mềm.... Tuy nhiên, trong khuôn khổ nội dung bài viết sẽ đưa ra một số khuyến nghị và cách thức để đảm bảo an toàn ứng dụng di động cho người dùng như sau:
Cài đặt ứng dụng từ các nguồn đáng tin cậy
Đa số người dùng hiện nay đều cài đặt ứng dụng Android từ Google Play Store, ứng dụng trên IOS từ AppStore. Đây là những nguồn khá tin cậy cho việc cài đặt một ứng dụng trên thiết bị di động. Tuy nhiên, vẫn có một số trang web, diễn đàn cung cấp file cài đặt có định dạng Apk, Ipa để có thể cài đặt ứng dụng. Điều này đồng nghĩa với việc gây mất an toàn trên thiết bị di động.
Sở dĩ việc cài đặt các ứng dụng trên Google Play Store và AppStore an toàn hơn, bởi trước khi được đưa nên trang chủ, nhà sản xuất phải trải qua quá trình kiểm duyệt của Google, Apple và nó cũng ít nhiều loại bỏ được các ứng dụng không an toàn.
Do vậy việc cài đặt ứng dụng từ nguồn đáng tin cậy là hết sức quan trọng đối với người sử dụng, tránh cài đặt ứng dụng từ trang Web, diễn đàn hay từ những đường dẫn chưa được xác thực.
Phân cấp quyền cho ứng dụng khi cài đặt và cập nhật
Việc xem xét cấp quyền truy cập cho ứng dụng khi cài đặt và cập nhật là một nội dung quan trọng. Tuy nhiên, đa số người dùng lại bỏ qua hoặc không xem xét kỹ lưỡng các điều khoản này. Hình dưới đây minh họa ứng dụng Cookpad đang yêu cầu quyền truy cập vào bộ nhớ của thiết bị, có nghĩa là ứng dụng có thể xem, sửa, xóa các ảnh, file, tệp có trong thiết bị Android.
Yêu cầu cấp quyền cho ứng dụng khi cài đặt
Mỗi khi cài đặt một ứng dụng mới hoặc cập nhật một ứng dụng, người dùng nên chú ý đọc thật kỹ các thông báo cấp quyền truy cập tài nguyên trên điện thoại cho ứng dụng. Loại bỏ các quyền không cần thiết cũng như không cài đặt ứng dụng khi phát hiện các yêu cầu cấp quyền khả nghi.
Một số quyền nguy hiểm cần được lưu ý khi ứng dụng yêu cầu:
• Quyền sử dụng định vị.
• Quyền xem danh bạ.
• Quyền truy cập, sử dụng camera.
• Quyền truy cập, sử dụng micro.
• Quyền gọi điện nhắn tin.
• Quyền xem bộ nhớ, ảnh.
Cảnh giác đối với các ứng dụng giả mạo trên Google Play Store và Apple Store
Nơi an toàn nhưng chưa hẳn là an toàn tuyệt đối, Google Play Store và AppStore vẫn luôn tồn tại những nguy cơ về ứng dụng giả mạo. Với tên một ứng dụng, chúng ta hoàn toàn có thể tìm kiếm trên các kho ứng dụng nêu trên và kết quả trả về với hàng chục kết quả khác nhau. Để có thể xác định được ứng dụng thực sự và có độ tin cậy cao thì người dùng có thể dựa vào các thông tin đi kèm ứng dụng bao gồm: nhà phát hành phần mềm ứng dụng; dung lượng ứng dụng; số lượt tải và bình luận đánh giá ứng dụng. Việc xem xét số lượt tải và bình luận đánh giá cũng có thể giúp người dùng nhận biết được đâu là những ứng dụng tốt khi có nhiều người sử dụng và có những phản hồi tốt.
Kiểm tra và loại bỏ các quyền của truy cập tài nguyên của thiết bị
Người dùng nên thường xuyên kiểm tra việc cấp quyền truy cập tài nguyên cho các ứng dụng trên điện thoại di động; hạn chế các quyền của ứng dụng một cách tối đa, chỉ nên cấp các quyền nguy hiểm nêu trên cho ứng dụng trong khoảng thời gian sử dụng ứng.
.png)
Kiểm tra cấp quyền cho ứng dụng trên IOS
Sử dụng và cài đặt một phần mềm antivirus uy tín
Để có thể phát hiện các ứng dụng có chứa mã độc trên điện thoại di động, người dùng nên cài đặt một chương trình tìm kiếm, phát hiện mã độc là một việc làm cần thiết, như: Security Master, Kaspersky Internet Security, Malwarebytes Security, Avast Antivius, McAfee Mobile Security, Bkav Mobile Security…
Tuy nhiên, một điểm lưu ý đó là cần xác định rõ nguồn gốc, độ an toàn của chính các phần mềm antivirus này. Bằng cách truy cập trang chủ của các hãng phần mềm antivirus, người dùng có thể tải các phần mềm chính thức và phù hợp với thiết bị để phòng tránh được nguy cơ giả mạo phần mềm.
Kết luận
Thiết bị di động lưu trữ các thông tin nhạy cảm của mỗi cá nhân, vì vậy, việc đảm bảo an toàn thông tin cho các ứng dụng di động cần được chú trọng. Một ứng dụng di động sau khi được kiểm tra đánh giá sẽ đạt được rất nhiều lợi ích: xác định khả năng bị tấn công của hệ thống; các khả năng kết hợp các nguy cơ nhỏ và nguy cơ lớn; cung cấp hiện trạng bảo mật của đối tượng và đưa ra các giải pháp kiện toàn để khắc phục.
Để bảo đảm an toàn cho thiết bị di động, người dùng cần kết hợp các giải pháp phần mềm với ý thức bảo mật thiết bị, cũng như nâng cao cảnh giác khi cài đặt và sử dụng các ứng dụng trên thiết bị di động.
Nguyễn Ngọc Toàn
11:00 | 17/06/2019
10:00 | 12/11/2020
09:00 | 13/06/2019
08:00 | 21/06/2019
13:00 | 29/12/2023
Hiện nay, số lượng các vụ tấn công mạng trên ứng dụng web đang có xu hướng ngày càng gia tăng cả về quy mô lẫn mức độ tinh vi, với mục tiêu nhắm vào các dịch vụ cơ sở trọng yếu, khối tài chính, ngân hàng và các tổ chức/doanh nghiệp (TC/DN) lớn. Hậu quả của các cuộc tấn công này có thể là giả mạo giao dịch, gián đoạn hoạt động kinh doanh hay vi phạm dữ liệu, dẫn đến nguy cơ rò rỉ thông tin và mất mát dữ liệu quan trọng. Điều này gây ra nhiều thiệt hại đáng kể về tài chính cũng như uy tín của các TC/ DN. Bài báo sẽ trình bày thực trạng về bảo mật ứng dụng web năm 2023 dựa trên báo cáo của công ty an ninh mạng OPSWAT, cùng các giải pháp phòng tránh mối đe dọa tấn công mạng này.
09:00 | 24/11/2023
Bằng chứng không tiết lộ tri thức (Zero-Knowledge Proofs - ZKP) là một dạng kỹ thuật mật mã được công bố từ thập niên 90 của thế kỷ trước, công nghệ mật mã này cho phép xác minh tính xác thực của một phần thông tin mà không tiết lộ chính thông tin đó. Tuy nhiên, trong những năm gần đây ZKP mới được đưa vào ứng dụng nhiều trong hệ thống công nghệ thông tin. Bài viết này sẽ trình bày chi tiết về khái niệm, tính chất, cách thức phân loại và một số ứng dụng phổ biến của ZKP trong an toàn thông tin.
14:00 | 14/08/2023
Xu hướng số hóa đã mang lại nhiều lợi ích cho ngành công nghiệp sản xuất, nhưng nó cũng bộc lộ những lỗ hổng trong hệ thống công nghệ vận hành (Operational Technology - OT) được sử dụng trong những môi trường này. Khi ngày càng có nhiều hệ thống điều khiển công nghiệp (Industrial Control System - ICS) được kết nối với Internet, nguy cơ tấn công mạng nhằm vào các hệ thống này sẽ càng tăng lên. Nếu các hệ thống này bị xâm phạm, nó có thể dẫn đến những hậu quả nghiêm trọng, chẳng hạn như ảnh hưởng sản xuất, bị mất cắp dữ liệu, hư hỏng vật chất đối với thiết bị, nguy hiểm cho môi trường làm việc và thậm chí gây hại đến tính mạng con người. Chính vì vậy, việc đưa ra các lưu ý giúp tăng cường bảo mật OT trong môi trường công nghiệp sản xuất trở nên vô cùng quan trọng.
14:00 | 22/06/2023
Google cho biết đã cung cấp các tính năng tăng cường bảo mật mới cho Trình Quản lý mật khẩu tích hợp sẵn trên trình duyệt Chrome, giúp người dùng quản lý mật khẩu của họ dễ dàng hơn và giữ an toàn trước mối đe dọa từ các cuộc tấn công chiếm đoạt tài khoản.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát hành phiên bản mới của hệ thống Malware Next-Gen có khả năng tự động phân tích các tệp độc hại tiềm ẩn, địa chỉ URL đáng ngờ và truy tìm mối đe dọa an ninh mạng. Phiên bản mới này cho phép người dùng gửi các mẫu phần mềm độc hại để CISA phân tích.
13:00 | 17/04/2024
