Phát hiện lỗ hổng bảo mật HTTPS trên gần 100 ứng dụng Android, gần 200 triệu người dùng bị ảnh hưởng

Mới đây các nhà nghiên cứu an ninh mạng đã phát hiện ra hơn 100 ứng dụng Android không thể mã hóa dữ liệu đăng nhập của người dùng - đồng nghĩa với việc thông minh cá nhân của họ đang đối mặt với nguy cơ bị tấn công dễ dàng bởi các hacker. Đáng nói là đến thời điểm này, phần lớn các nhà phát triển ứng dụng trên vẫn chưa động thái nào để khắc phục và sửa chữa tình trạng này.

Rất nhiều người dùng có thể bị lấy cắp thông tin cá nhân với lỗ hổng bảo mật này

Điểm mấu chốt trong vấn đề này là giao thức bảo mật HTTPS trên những ứng dụng này bị lỗi hoặc không mã hóa thông tin người dùng. Thực tế thì tình trạng này đã xảy ra trong trong nhiều năm qua trên các ứng dụng Android và khiến cho thông tin cá nhân của người dùng dễ dàng bị lấy cắp.

Lỗ hổng bảo mật này được tìm thấy ngay trên những ứng dụng khá phổ biến như tìm bạn Match.com, NBA Game Time (theo dõi giải bóng rổ NBA) và cả Pizza Hut. Ví dụ như trên ứng dụng NBA Game Time, khi người dùng đăng nhập với username/password thành công thì một ứng dụng của bên thứ 3 có thể lấy được thông tin của tài khoản này qua mạng wifi công cộng". Ông Rui Wang, CEO của công ty giải pháp an ninh di động AppBugs cho biết.

Ứng dụng đặt Pizza của Pizza Hut cũng mắc phải lỗ hổng bảo mật này

Sau khi phát hiện ra những lỗ hổng này, Rui Wang đã thông báo với nhà phát triển ứng dụng NBA nhưng đã 4 tháng trôi qua và tình trạng trên vẫn chưa được khắc phục. Các nhà phát triển ứng dụng khác như Match.com, Safeway và Pizza Hut cũng như gần 100 ứng dụng khác vẫn chưa có một động thái cụ thể, chỉ mới 28 ứng dụng trong số này được nâng cấp bảo mật.

Tuy nhiên không chỉ ứng dụng Android mới gặp tình trạng này vì trước đó trên hệ điều hành iOS, các chuyên gia bảo mật cũng đã phát hiện ra hơn 1.500 ứng dụng chứa các lỗ hổng tương tự và khiến cho người dùng dễ dàng bị đánh cắp thông tin cá nhân.

Tham khảo: apextribune