Nguồn: Bigstock.
Theo nghiên cứu của tổ chức tư vấn bảo mật toàn cầu IOActive, có hơn 20 ứng dụng di động theo dõi chứng khoán phổ biến còn nhiều sai sót khiến người dùng có nguy cơ mất tiền hoặc mất dữ liệu cá nhân.
Alejandro Hernandez, chuyên gia tư vấn an ninh cao cấp cho IOActive, cho biết hiện vẫn chưa thể nêu tên các ứng dụng cụ thể được kiểm tra, chỉ biết rằng các ứng dụng này xử lý hàng tỉ đô la giao dịch mỗi năm và được hàng triệu người trên thế giới sử dụng.
Vấn đề thường gặp trên các ứng dụng
IOActive đã kiểm tra và phát hiện ra 19% trong số 21 ứng dụng đã để lộ mật khẩu người dùng. Nếu không bật mã hóa, tài khoản sẽ rất dễ bị hack. Không chỉ vậy, 62% trong số 21 ứng dụng còn yêu cầu trực tiếp gửi dữ liệu tài chính quan trọng khi đăng nhập vào hệ thống.
Hai trong số các ứng dụng đã sử dụng chứng chỉ HTTP không mã hóa để truyền và nhận dữ liệu. Ngoài ra, còn có 13 ứng dụng sử dụng chứng chỉ HTTPS nhưng lại không kiểm tra tính xác thực của máy chủ từ xa. Việc thiếu kiểm tra này có thể cho phép các tình huống truy cập từ xa và đánh cắp dữ liệu xảy ra.
Nguy cơ tấn công XSS rất có khả năng xảy ra
JavaScript hoặc HTML cũng có thể bị truy cập nếu thiếu chứng chỉ bảo mật xác minh. Hernandez còn phát hiện ra rằng có đến 10 ứng dụng không thiết lập thực thi mã JavaScript trong các lần truy cập website, điều này dễ dàng dẫn đến các cuộc tấn công XSS. Đây là kiểu tấn công cho phép hacker chèn những đoạn script độc hại (thông thường là Javascript hoặc HTML) vào website và sẽ được thực thi trong trình duyệt của người dùng.
"Thiệt hại về tài chính mà các ứng dụng này có thể gây ra thật sự không nhỏ. Người dùng cá nhân lẫn các nhà quản lý phải cần thận hơn rất nhiều khi theo dõi chứng khoán trên ứng dụng di động."
Đăng ký tại đây
Bình luận hay