Một lỗ hổng mới vừa được phát hiện trên nhiều ứng dụng ngân hàng, liệu chúng có an toàn? Các chuyên gia bảo mật vừa phát hiện mộ

Các chuyên gia bảo mật vừa phát hiện một lỗ hổng bảo mật cực kỳ nghiêm trọng có trên các ứng dụng ngân hàng điện thoại khiến các thông tin ngân hàng của hàng triệu người có nguy cơ bị đánh cắp bởi hacker.

Lỗ hổng bảo mật này được phát hiện ra bởi nhóm Security and Privacy của Đại học Birmingham, đã thực hiện kiểm tra hàng trăm ứng dụng ngân hàng khác nhau trên cả hai hệ điều hành iOS và Android. Điều đáng nói là họ đã tìm ra nhiều ứng dụng ngân hàng cùng bị ảnh hưởng chung một vấn đề, khiến ứng dụng dễ bị hack và thông tin người sử dụng có thể bị lộ bởi các cuộc tấn công trung gian.

Những ứng dụng bị ảnh hưởng gồm HSBC, NatWest, Co-op, Santander và Allied Irish, những ứng dụng ngân hàng này đã được cập nhật sau khi các nhà nghiên cứu thông báo vấn đề.

Theo nghiên cứu của các chuyên gia, ứng dụng chứa lỗ hổng cho phép kẻ tấn công kết nối chung mạng internet với nạn nhân, can thiệp vào kết nối SSL và đánh cắp thông tin ngân hàng của người dùng bao gồm tên người dùng, mật khẩu, mã pin… dù cho ứng dụng có dùng chức năng ghim SSL đi chăng nữa.

Chức năng ghim SSL là một tính năng bảo mật giúp ngăn chặn kẻ xâm nhập trung gian (MITM) tấn công bằng cách thêm một lớp xác thực tin cậy giữa các host hoặc thiết bị.

Khi được thiết lập, tính năng này sẽ giúp kiểm soát và ngăn cản những cuộc tấn công dựa vào mạng kết nối khi hacker cố tình sử dụng những chứng chỉ hợp lệ để giả dạng chứng chỉ quyền sở hữu.

Dù sao thì có 2 bước để sát nhận một kết nối SSL – bước thứ nhất là xác nhận chứng chỉ có từ nguồn đáng tin cậy hay không và bước thứ hai là kiểm tra để đảm bảo server đang kết nối có chứa những chứng chỉ hợp lệ.

Các nhà nghiên cứu tìm thấy lỗi ở bước xác nhận tên miền, nhiều ứng dụng không tiến hành các bước kiểm tra khi đang kết nối với nguồn đáng tin cậy. Việc xác nhận tên miền giúp đảm bảo tên miền trong URL mà ứng dụng ngân hàng kết nối có đúng với tên miền trong chứng chỉ kỹ thuật số cung cấp hay không.

Bên cạnh vấn đề này, các nhà nghiên cứu còn chỉ ra một “tấn công giả mạo ngay trong ứng dụng” ảnh hưởng các ứng dụng của ngân hàng Santander và Allied Irish, cho phép hacker hack một phần màn hình của nạn nhân trong khi ứng dụng đang chạy và sử dụng nó để đánh cắp thông tin của nạn nhân.

Các chuyên gia đã nhanh chóng thông báo cho các ngân hàng bị ảnh hưởng và nhanh chóng vá lỗi này trước khi công bố các kết quả nghiên cứu này vào tuần này.

Minh Hương