Hơn 1 tỷ tài khoản app điện thoại có thể bị hack bằng cách đơn giản này

Các chuyên gia nghiên cứu bảo mật đã phát hiện ra một cách hack nhắm mục tiêu vào hàng loạt các ứng dụng Android và iOS, qua đó cho phép tin tặc đăng kí từ xa vào tài khoản ứng dụng di động của bất kì nạn nhân nào mà không cần sự cho phép của chủ thiết bị.

Nhóm nghiên cứu bao gồm Ronghai Yang, Wing Cheong Lau, và Tianyu Liu đến từ đại học Trung Quốc của HongKong đã phát hiện hầu hết các ứng dụng di động phổ biến hỗ trợ dịch vụ đăng nhập một lần (single sign on SSO) OAuth 2.0 đều không an toàn.

OAuth 2.0 là một tiêu chuẩn mở quyền tác giả cho phép người dùng đăng nhập vào qua dịch vụ truy cập từ bên thứ ba với các tài khoản đã xác thự như Google, Facebook, hoặc tài khoản Sina Trung Quốc. Quá trình này cho phép người dùng đăng kí vào bất kì dịch vụ nào mà không cần phải cung cấp tên người dùng hay bổ sung thông tin mật khẩu.

Các nhà phát triển ứng dụng đã thực hiện những việc cần thiết gì để thực hiện OAuth? (cách đúng)

Khi người dùng đăng nhập vào một ứng dụng của bên thứ ba thông qua OAuth, ứng dụng kiểm tra với các ID nhà cung cấp, chẳng hạn như, Facebook, tài khoản có thông tin xác thực chính xác. Nếu có, OAuth sẽ có một 'Mã Truy Cập - Access Token' từ Facebook từ đó được phát hành cho các máy chủ của ứng dụng di động đó.

Sau khi token được phát hành, máy chủ ứng dụng yêu cầu xác thực thông tin của người dùng từ Facebook, thẩm tra và sau đó cho phép người dùng đăng nhập bằng chính tài khoản Facebook của họ.

Các nhà phát triển ứng dụng đã thực hiện những việc cần thiết gì để thực hiện OAuth? (cách sai)

Các chuyên gia bảo mật đã phát hiện ra rằgn các nhà phát triển của một số lượng lớn các ứng dụng Android đã không thực hiện quy trình kiểm tra tính hợp lệ của các thông tin được gửi từ nhà cung cấp ID, như Facebook, Google hoặc Sina.

Thay vì xác minh thông tin OAuth (Access Token) kèm theo các thông tin xác thực của người sử dụng nhằm xác nhận liệu người dùng và ID nhà cung cấp có kết nối thực sự hay không, các máy chủ ứng dụng sẽ chỉ kiểm tra ID người dùng trích xuất từ các nhà cung cấp ID.

Do sai lầm này, tin tặc từ xa có thể tải về các ứng dụng dễ tồn tại lổ hổng bảo mật, đăng nhập với thông tin riêng của kẻ tấn công và sau đó thay đổi tên của họ thành các cá nhân muốn nhắm mục tiêu (mà các hacker có thể đoán hoặc dùng Google để tìm kiế) bằng cách thiết lập một máy chủ để sửa đổi các dữ liệu gửi từ Facebook, Google hoặc các nhà cung cấp ID khác.

Sau khi thực hiện, điều này cho phép kẻ tấn công kiểm soát toàn bộ các dữ liệu trong các ứng dụng, tạp chí Forbes cho biết.

Vấn đề ở đây là gì? Nếu tin tặc đột nhập vào ứng dụng du lịch của nạn nhân, họ có thể  biết được lịch trình của nạn nhân; nếu đột nhập vào ứng dụng đặt phòng khách sạn, họ có thể đặt một phòng cho họ và rút tiền từ tài khoản nạn nhân để thanh toán; hoặc đơn giản là ăn cắp dữ liệu cá nhân của nạn nhân, chẳng hạn như địa chỉ nhà ở hoặc thông tin ngân hàng khác.

"Các giao thức OAuth khá phức tạp," Lau trả lời phỏng vấn của Forbes. "Rất nhiều nhà phát triển bên thứ ba là những tài khoản nhỏ tự làm, họ không có khả năng. Phần lớn thời gian họ đang sử dụng đề nghị truy cập từ Google và Facebook, nhưng nếu họ không làm điều đó một cách nghiêm túc và chính xác, ứng dụng của họ sẽ bị để ngõ ".

Các nhà nghiên cứu đã tìm thấy hàng trăm ứng dụng Android phổ biến của Mỹ và Trung Quốc có hỗ trợ dịch vụ SSO với tổng số hơn 2,4 tỷ lượt tải có thể mắc phải lỗi bảo mật này.

Việc xem xét số lượng người dùng lựa chọn không cho đăng nhập dựa trên OAuth, các nhà nghiên cứu ước tính rằng hơn một tỷ tài khoản ứng dụng di động khác nhau có nguy cơ bị “bắt cóc” từ một cuộc tấn công nào đó.

Các nhà nghiên cứu đã không kiểm tra thực nghiệm trên nền tảng của iPhone, nhưng họ tin rằng thử nghiệm tấn công của họ sẽ hoạt động trên bất kỳ ứng dụng tồn tại lỗ hổng thuộc hệ điều hành di động iOS của Apple.

"Mặc dù thử nghiệm hack này của chúng tôi được thể hiện trên nền tảng Android, nhưng khai thác chính nó là nền tảng agnostic: bất kỳ người dùng iOS hoặc Android sử dụng các ứng dụng di động có lỗ hổng và dịch vụ SSO OAuth2.0 dựa trên với ứng dụng trước đây đều có khả năng bị ảnh hưởng", các nhà nghiên cứu cho biết.

Yang và Lau đã đệ trình nghiên cứu của mình với tựa đề "Signing into One Billion Mobile App Accounts Effortlessly with OAuth2.0" (tạm dịch: Đăng nhập vào một tỷ tài khoản ứng dụng di động hiệu quả với OAuth2.0), tại hội nghị Black Hat Châu Âu vào thứ Sáu này.

Xuân Dung