Mới đây, trang tin The Hacker News đưa tin về một vụ lộ thông tin khách hàng quy mô lớn của một công ty khởi nghiệp ở Tel Aviv (Israel) có tên là Ai.type. Công ty này đã để lộ thông tin của hơn 31 triệu khách hàng sử dụng phần mềm bàn phím ảo. Vụ việc được phát hiện bởi một nhóm các nhà nghiên cứu của Kromtech Security Center (NEW ORLEANS – Mỹ). Bất kỳ ai cũng có thể tải xuống dữ liệu mà không cần có mật khẩu.
Thành lập năm 2010, Ai.type cung cấp bàn phím ảo có thể tuỳ biến và cá nhân hoá cho điện thoại thông minh và máy tính bảng cho hơn 40 triệu khách hàng trên toàn cầu. Tuy nhiên, cơ sở dữ liệu MongoDB bị cấu hình sai đã để lộ toàn bộ 577 GB dữ liệu chi tiết, nhạy cảm của người dùng trên mạng. Dường như công ty đã thu thập tất cả các loại thông tin, từ danh bạ cho tới các phím mà người dùng từng bấm. Cơ sở dữ liệu bị lộ về hơn 31 triệu khách hàng bao gồm:
Hơn thế nữa, cơ sở dữ liệu bị lộ cho thấy, ứng dụng bàn phím ảo còn đánh cắp danh bạ của người dùng với tổng số hơn 373 triệu bản ghi.
Nếu không tính những phần mềm cố tình đánh cắp thông tin của người dùng, những ứng dụng nghiêm túc cũng có thể bị lợi dụng mà nhà phát triển không biết. Từ sau hội thảo BlackHat 2015, mọi người được biết hầu hết các điện thoại thông minh của Samsung có thể bị tin tặc tấn công và do thám người dùng. Nguyên nhân là Samsung đã phạm sai lầm khi sử dụng SDK của Swiftkey, cấp quyền mức hệ thống cho ứng dụng bàn phím. Đến tháng 7/2016, một số người dùng Swiftkey lại báo rằng, bàn phím của họ gợi ý những cụm từ liên quan đến địa chỉ thư điện tử và các từ khóa tìm kiếm của những người khác. Trước đó, từng có người dùng phải lo lắng vì thấy mật khẩu truy cập ứng dụng ngân hàng của mình xuất hiện trong số các từ gợi ý khi chat với bạn bè.
Liệu người dùng có thể tin tưởng vào sự bảo vệ của Apple hay Google? Về lý thuyết, hệ điều hành của điện thoại thông minh có thể giúp người dùng ngăn chặn việc truy cập mạng của các phần mềm bàn phím, nhưng một khi dữ liệu đã rời khỏi thiết bị thì Apple, Google hay bất kỳ nhà cung cấp hệ điều hành nào, thì cũng không thể kiểm soát được.
Để đảm bảo an toàn, người dùng iOS có thể chặn phần mềm bàn phím truy cập Internet bằng cách chọn Settings, General, Keyboards, chọn bàn phím rồi bỏ tùy chọn “Allow Full Access”.
Ngoài ra, từ phiên bản iOS 8, Apple đã bổ sung tính năng tự động chuyển về sử dụng bàn phím gốc khi người dùng nhập thông tin vào các trường được đánh dấu là mật khẩu/số thẻ tín dụng. Điều này không chỉ đúng với những phần mềm cài sẵn của Apple như Calendar, Mail, App Store mà còn xảy ra với những phần mềm của bên thứ 3 như Dropbox/Twitter và cả khi người dùng nhập dữ liệu vào các web form trong trình duyệt (đã thử nghiệm với Safari, Chrome,…). Lúc đó, nếu người dùng chạm vào biểu tượng quả địa cầu để chọn bàn phím thì sẽ chỉ thấy lựa chọn bàn phím gốc.
Với Android, chỉ có người dùng phiên bản 6.0 trở lên mới thay đổi được quyền của các ứng dụng (để huỷ quyền kết nối internet của các bàn phím thứ ba). Tuy nhiên, người dùng các phiên bản thấp hơn vẫn có hai lựa chọn, hoặc là dùng các phần mềm firewall hay VPN để ngăn chặn ứng dụng truy cập Internet. Các phần mềm như Mobiwol, NoRoot Data Firewall hay LostNet NoRoot Firewall không đòi hỏi quyền root, nên rất thích hợp cho mục đích này. Hoặc là dùng các phần mềm như Llama hay Tasker để tự động thay đổi bàn phím mỗi khi sử dụng các ứng dụng quan trọng như giao dịch ngân hàng. Llama có lợi thế là giao diện đơn giản, dễ dùng và không đòi hỏi quyền root.
Thạch Anh
tổng hợp
08:26 | 28/04/2017
14:00 | 08/03/2021
16:16 | 31/03/2017
15:24 | 06/03/2017
08:00 | 29/06/2020
08:00 | 22/03/2024
Năm 2024 đánh dấu chặng đường 18 năm xây dựng và phát triển của Tạp chí An toàn thông tin (17/3/2006-17/3/2023). Trong suốt 18 năm qua, Tạp chí đã có những bước phát triển vượt bậc, đáp ứng yêu cầu nhiệm vụ chính trị của đất nước và của ngành Cơ yếu Việt Nam, đặc biệt là yêu cầu về chuyên nghiệp, hiện đại hóa cơ quan báo chí của Chính phủ và của Quân đội. Tạp chí đã cung cấp nội dung thông tin phong phú, chuyên sâu và rộng khắp trong lĩnh vưc bảo mật, an toàn thông tin (ATTT) và Cơ yếu với hình thức thể hiện đa dạng, phù hơp với sự thay đổi của công nghệ truyền thông cũng như sự thay đổi của nhu cầu bạn đọc.
14:00 | 05/03/2024
Công ty Avast sẽ phải trả 16,5 triệu USD và bị cấm bán hoặc cấp phép dữ liệu duyệt web cho quảng cáo như một phần của thỏa thuận với Ủy ban Thương mại Liên bang (FTC) vì đã bán một lượng lớn dữ liệu duyệt web tổng hợp, có thể nhận dạng lại cho các bên thứ ba.
12:00 | 29/02/2024
Meta Platforms đã thực hiện một loạt các biện pháp nhằm hạn chế các hoạt động gián điệp mạng từ 8 công ty khác nhau có trụ sở tại Ý, Tây Ban Nha và Các Tiểu vương quốc Ả Rập Thống nhất (UAE). Những phần mềm gián điệp này nhắm mục tiêu vào các thiết bị iOS, Android và Windows.
08:00 | 19/01/2024
Các chuyên gia đã phát hiện một chiến dịch phân phối phần mềm độc hại AsyncRAT nhắm mục tiêu vào các hệ thống thông tin cơ sở hạ tầng của Mỹ đã hoạt động trong ít nhất 11 tháng qua, sử dụng hàng trăm mẫu trình tải duy nhất và hơn 100 tên miền độc hại.
Hội nghị quốc tế lần thứ 12 Lãnh đạo cấp cao phụ trách an ninh được tổ chức dựa trên sự cần thiết vì nó mở ra cơ hội để trao đổi kinh nghiệm, tìm kiếm những cách tiếp cận mới và các giải pháp tổng hợp chung cho các vấn đề cấp bách về an ninh khu vực và toàn cầu.
09:00 | 28/04/2024
Hướng tới kỷ niệm 80 năm Ngày truyền thống ngành Cơ yếu Việt Nam (12/9/1945 - 12/9/2025), Ban Cơ yếu Chính phủ đã ban hành Kế hoạch phát động Cuộc thi sáng tác nghệ thuật thơ, ca khúc về Ngành Cơ yếu Việt Nam.
10:00 | 16/04/2024
Apple đang đàm phán để sử dụng công cụ Gemini AI của Google trên iPhone, tạo tiền đề cho một thỏa thuận mang tính đột phá trong ngành công nghiệp AI.
11:00 | 26/04/2024