Chuyên mục Kỷ Nguyên Số

Báo Pháp luật Thành phố Hồ Chí Minh
DANH MỤC
  • Nhịp công nghệ
  • Thiết bị số
  • Tuyệt chiêu
  • Kinh Doanh Online
  • Công Nghệ 4.0
  • Xe Điện
Trang chủ
Kỷ nguyên số
Thiết bị số

Thiết bị số

Gần 100% điện thoại Android rò rỉ dữ liệu người dùng

Thứ năm 19/05/2011 11:55
printer envelope zini zini zini zini
Các nhà nghiên cứu tại Đức đã phát hiện ra rằng nếu người dùng sử dụng một chiếc điện thoại Android (phiên bản 2.3.3 hoặc cũ hơn) để kết nối với các mạng Wi-Fi không bảo đảm, dữ liệu cá nhân của họ sẽ có nguy cơ bị rơi vào tay tin tặc.


Những yếu kém trong công tác bảo mật của Google đang ngày càng lộ rõ. Các nhà nghiên cứu Bastian Konings, Jens Nickels, và Florian Schaub tại Đại học Ulm đã tiến hành một cuộc thử nghiệm và nhận thấy 99,7% smartphone chạy trên hệ điều hành Android của Google có thể dễ dàng bị xâm nhập bởi các hacker di động. Những kẻ tấn công sau đó có thể sử dụng những dữ liệu “bị rò rỉ” để mạo nhận người dùng hợp pháp và truy cập vào các tài khoản trực tuyến như Google Calendar, Twitter và Facebook.

Theo các nhà nghiên cứu, việc Android dễ bị tấn công bắt nguồn từ một lỗ hổng trong giao thức xác thực ClientLogin. Giao thức này được sử dụng trong phiên bản Android 2.3.3 và các phiên bản cũ hơn, theo The Register. Một khi người dùng trình thông tin đăng nhập của họ, ClientLogin nhận được một yêu cầu xác thực ứng dụng (authToken) được gửi đến như một file cleartext. Bởi vì authToken có thể được sử dụng nhiều lần trong vòng 14 ngày nên tin tặc có thể đăng nhập thông tin được lưu trữ trên file này và sử dụng nó cho những mưu đồ bất chính.

“Chúng tôi muốn biết liệu nó có thực sự có thể khởi động một cuộc tấn công mạo danh vào các dịch vụ Google, do đó chúng tôi đã tiến hành các phân tích của mình”, các nhà nghiên cứu viết “Câu trả lời ngắn gọn là: Có, điều đó có thể xảy ra và khá dễ dàng để làm vậy. Hơn nữa, cuộc tấn công không giới hạn với Google Calendar và Contacts. Theo lý thuyết, tất cả các dịch vụ của Google đang sử dụng giao thức xác thực ClientLogin để truy cập vào dữ liệu các dịch vụ API.

Kiểu tấn công này chỉ có thể được tiến hành khi điện thoại Android sử dụng một mạng không đảm bảo như điểm truy cập Wi-Fi để gửi dữ liệu. Các nhà nghiên cứu cho biết tin tặc có thể thực hiện một cuộc tấn công như vậy khi một thiết bị được kết nối với một mạng nằm dưới sự kiểm soát của chúng.

“Để thu thập những authToken trên một quy mô lớn, tin tặc có thể thiết lập một điểm truy cập Wi-Fi với một SSID thông thường của một mạng không dây không được mã hóa. Với các cài đặt mặc định, điện thoại Android sẽ tự động kết nối với một mạng được biết đến từ trước và nhiều ứng dụng sẽ cố gắng đồng bộ ngay lập tức. Khi việc đồng bộ hóa bị thất bại, tin tặc sẽ chiếm lấy authToken cho mỗi dịch vụ đã cố gắng đồng bộ hóa”.

Các nhà nghiên cứu của Đức đã đưa ra một số phương pháp để giải quyết vấn đề này cho các nhà phát triển ứng dụng, Google cũng như người dùng Android. Theo đó, các nhà phát triển có các ứng dụng sử dụng giao thức ClientLogin “nên lập tức chuyển sang HTTP”. Google nên hạn chế thời gian tồn tại của các authToken và từ chối đăng nhập ClientLogin dựa trên các kết nối không an toàn. Các nhà nghiên cứu khuyên người dùng Android nên update điện thoại của họ lên 2.3.4 càng sớm càng tốt cũng như tắt đồng bộ hóa tự động khi kết nối với mạng Wi-Fi hoặc tránh kết nối với những mạng Wi-Fi không bảo đảm.

Theo Võ Hiền (Dân trí / Digitaltrends)


 

các tin khác

  • Điện thoại đầu tiên sử dụng hai nhân của LG
  • Sử dụng giấy làm màng loa
  • TV LCD mới của Panasonic ở VN
  • PlayBook có màn khởi động tốt hơn Motorola Xoom
  • Motorola Droid X2 dùng chip lõi kép trình làng
  • Microsoft thay hàng loạt máy chơi game Xbox 360
  • Giới trẻ Mỹ “mê mẩn” máy ảnh phim
  • HTC Bresson với camera 16 Megapixel sắp ra mắt
  • Samsung sắp bán TV LCD màn hình trong suốt

tin đọc nhiều

  • Việt Nam thiệt hại 1 tỉ USD do virus máy tính trong năm 2020
CHỈ MỤC
  • Nhịp công nghệ
  • Thiết bị số
  • Tuyệt chiêu
  • Kinh Doanh Online
  • Công Nghệ 4.0
  • Xe Điện
  • rss G+ Facebok

Chuyên mục Kỷ Nguyên Số

© Chuyên mục công nghệ Báo điện tử Pháp Luật Thành phố Hồ Chí Minh. Cơ quan chủ quản: Ủy ban Nhân dân Thành phố Hồ Chí Minh
Giấy phép số: 636/GP-BTTTT của Bộ Thông tin và Truyền thông cấp ngày 28-12-2020
Tổng Biên Tập: Mai Ngọc Phước. Tòa soạn: 34 Hoàng Việt, Phường 4, Quận Tân Bình, TPHCM
Tổng đài: (028)39910101 - 39914701. Fax: (028) 3991 4661; Email: kynguyenso@phapluattp.vn

Liên hệ Truyền Thông, quảng cáo: (028) 39914669 – Fax: (028) 39914606, Email: quangcao@phapluattp.vn

® Pháp Luật TP.HCM giữ bản quyền nội dung trên website này.

Cấm sao chép dưới mọi hình thức nếu không có sự chấp thuận bằng văn bản của Báo.

Đang hiển thị 2201645673509662010.