Các ứng dụng ngân hàng di động có thể làm lộ dữ liệu riêng tư của khách hàng

Đào Công
02/06/2021 08:57
D

Mặc dù năm 2020 có thể được gọi là “Năm của ứng dụng ngân hàng”, nhưng trên thực tế không phải là tất cả đều tốt đẹp. Xu hướng phát triển ứng dụng này khiến các tổ chức tài chính phải chịu trách nhiệm nhiều hơn trong việc duy trì kiểm soát chặt chẽ việc phát triển và bảo trì ứng dụng của họ cũng như giúp người tiêu dùng tự bảo vệ mình.

Số lượt cài đặt các ứng dụng tài chính trên thiết bị di động đã tăng 15% vào năm 2020 khi nhiều người tiêu dùng cần các phương tiện từ xa để xử lý giao dịch ngân hàng của họ, như được theo dõi trong một nghiên cứu của Liftoff và App Annie. Trên toàn cầu, mọi người đã cài đặt 4,6 tỷ ứng dụng tài chính và dành 16,3 tỷ giờ sử dụng chúng, tăng 45% so với năm 2019.

Đó là một năm vấn đề tăng trưởng nóng đối với ứng dụng ngân hàng di động, vì có rất nhiều người lần đầu tiên tải xuống và khám phá các chương trình này. Với sự tăng trưởng đó, có một cảnh báo đáng kể: Điều mà nhiều người dùng mới và có kinh nghiệm có thể không biết là họ cũng có thể đã tải xuống nhiều ứng dụng tạo cơ hội cho tin tặc và những người khác có thể khai thác lỗ hổng trong các thành phần ứng dụng.

Trung tâm nghiên cứu an ninh mạng Synopsys đã đánh giá hơn 3.000 ứng dụng Android phổ biến nhất được xếp hạng trên Google Play, bao gồm 107 ứng dụng ngân hàng. Các ứng dụng đó đến từ khắp nơi trên thế giới. Phân tích được thực hiện bằng cách sử dụng phần mềm bảo mật Black Duck, vốn được thiết kế để phát hiện các lỗ hổng.

Đa số các ứng dụng có vấn đề tiềm ẩn

Trong số 107 ứng dụng ngân hàng, 88% chứa một số dạng lỗ hổng đã biết, so với mức trung bình của tất cả các danh mục ứng dụng là 63%. Trung bình, mỗi ứng dụng ngân hàng chứa 55 lỗ hổng bảo mật. Báo cáo của công ty cho biết: “Các ứng dụng tài chính yêu cầu một số dữ liệu nhạy cảm cá nhân nhất, khiến những con số này trở nên đáng báo động do tác động tiềm ẩn của một vi phạm bảo mật”.

Thật vậy, các ứng dụng ngân hàng - bao gồm các ứng dụng từ ngân hàng, fintech và các loại hình công ty liên quan cho thấy mức rủi ro tiềm ẩn cao đối với việc mất thông tin cá nhân hoặc bị xâm nhập khác. Chỉ có hai danh mục ứng dụng trò chơi có mức rủi ro cao hơn ứng dụng ngân hàng và ngay sau đó là ứng dụng lập ngân sách và thanh toán.

Phân tích của Synosys đã xem xét ba lĩnh vực chính liên quan tới khả năng xảy ra lỗ hổng bảo mật của ứng dụng:

  • Các lỗ hổng bảo mật trong phần mềm “mã nguồn mở” được các nhà phát triển ứng dụng sử dụng rộng rãi. Phân tích cho thấy 98% trong số hàng nghìn ứng dụng được quét có chứa một số cấu phần phần mềm nguồn mở. Đây là phần mềm có thể được cấp phép công khai và được tích hợp vào các chương trình khác.
  • Các trường hợp rò rỉ thông tin có thể xảy ra do các nhà phát triển ứng dụng vô tình để lại dữ liệu nhạy cảm như mật khẩu hoặc khóa.
  • Quyền cấp cho thiết bị di động - khi ứng dụng yêu cầu người dùng cho phép ứng dụng đó khai thác các chức năng khác nhau của thiết bị di động như máy ảnh hoặc dịch vụ định vị, có thể vượt quá những gì cần thiết hoặc có thể khiến dữ liệu cá nhân bị xâm phạm.

Đối với người tiêu dùng, báo cáo này nhấn mạnh một thực tế đáng kinh ngạc rằng ngay cả các ứng dụng di động phổ biến nhất cũng không tránh khỏi các điểm yếu về bảo mật và quyền riêng tư và không nên được tin tưởng hoàn toàn. Đối với các nhà phát triển ứng dụng, điều này nhấn mạnh nhu cầu cấp thiết đối với các phương pháp phát triển phần mềm an toàn cũng như bảo vệ quyền riêng tư và bảo mật tổng thể tốt hơn.

Điều này trái ngược với cách mà hầu hết mọi người tải xuống ứng dụng vì đủ loại lý do mà ít nghĩ đến những hậu quả có thể xảy ra. Theo Tim Mackey, Nhà chiến lược bảo mật chính của công ty Synopsys đã đánh giá các ứng dụng Android vì chúng có thể được tải xuống theo cách cho phép phân tích từng phần và từ đầu tới cuối. Ông giải thích, các ứng dụng tải xuống từ Apple Store đều được mã hóa và không thể phân tích theo cách đó, mặc dù các lỗ hổng bảo mật có thể tương tự nhau.

Nguồn lỗ hổng trong ứng dụng ngân hàng

Việc các ứng dụng ngân hàng có lỗ hổng tiềm tàng gặp phải không có nghĩa là các vụ rò rỉ lớn đang xảy ra, nhưng chúng có thể xảy ra, đặc biệt nếu các nhà cung cấp dịch vụ tài chính và người tiêu dùng không tuân thủ các biện pháp cẩn trọng và sử dụng an toàn.

Trong báo cáo gian lận hàng quý vào tháng 3/2021, RSA Security đã báo cáo rằng, trên web, trình duyệt di động và ứng dụng dành cho thiết bị di động, các ứng dụng chiếm 44% số vụ gian lận trong quý 4/2020, do việc sử dụng ứng dụng ngày càng tăng trong đại dịch (các số liệu RSA bao gồm gian lận ứng dụng giả mạo, khi bọn tội phạm sử dụng các ứng dụng giả mạo để đánh lừa mọi người tải chúng. Sau đó, chúng có thể đánh cắp thẻ tín dụng và các dữ liệu nhạy cảm khác).

Để minh họa cho cá rủi ro phát sinh, trong một cuộc phỏng vấn, Mackey giải thích rằng thời kỳ mà mọi thứ trong một gói phần mềm được phát triển hoàn toàn bởi tổ chức phát hành sản phẩm cuối cùng đã qua từ lâu. “Ngày nay có nhiều tác động của chuỗi cung ứng hơn. Các cấu phần đến từ các thư viện mã được phát triển bởi người khác hoặc thậm chí một nhóm nào đó”. Thông thường, các thư viện này được xây dựng trên phần mềm mã nguồn mở, được cấp phép và thường có các lỗ hổng bảo mật chỉ được sửa khi chúng được phát hiện.

Mackey nói tiếp: “Khi nói đến những thứ liên quan đến bảo mật, bạn sẽ không tìm thấy nhà phát triển phần mềm trung bình nào thành thạo về những thứ như mật mã và mã hóa. Họ sẽ sử dụng thư viện của bên thứ ba do một nhóm hiểu rất rõ về bảo mật tạo ra và thỉnh thoảng phần mềm của họ mắc lỗi, vì vậy họ đưa ra các bản vá lỗi".

Rò rỉ trong quy trình vá lỗi

Một trong những lỗ hổng trong ứng dụng là quy trình vá lỗi: Đảm bảo rằng các bản vá sẽ được chuyển từ các nhà phát triển ban đầu đến các nhà phát triển trong các tổ chức tài chính, những người đưa nhiều cấu phần vào ứng dụng, rồi đến App Store hoặc Google Play và cuối cùng là đến tay người tiêu dùng. Trong kịch bản lý tưởng, các bản tải mới đã được vá và cập nhật. Khi đó người tiêu dùng thường cho phép các ứng dụng trên điện thoại hoặc máy tính bảng của họ được cập nhật khi họ nhận được thông báo có bản vá.

Mackey so sánh điều này với quy trình sản xuất ô tô, nơi nhiều thành phần được sản xuất bởi các nhà thầu phụ và lắp ráp tại nhà máy để xuất xưởng những chiếc ô tô. Trong cách so sánh này, các bản vá lỗi giống như việc thu hồi những chiếc ô tô bị lỗi.

Ứng dụng ngân hàng có nhiều chức năng có thể yêu cầu giao tiếp với các tổ chức khác và với nhiều chức năng trên thiết bị di động. Chụp ảnh séc, thanh toán qua Zelle hoặc Venmo hoặc PayPal và rất nhiều yêu cầu khác có thể xuất phát từ bên ngoài.

Ông cho rằng nếu các tổ chức tài chính không chú ý đến các thông báo về các vấn đề bảo mật, hiệu suất hoặc ổn định, thì đó là lúc rò rỉ dữ liệu có thể xảy ra. Nếu người dùng cuối của ứng dụng đã tắt cập nhật, họ sẽ tự chịu rủi ro. Mackey cho biết ông nhận được khá nhiều bản cập nhật mỗi tối từ tất cả các ứng dụng có trên điện thoại di động của mình.

Nếu bất kỳ liên kết nào trong chuỗi liên lạc bị hỏng, thì việc sửa chữa sẽ không được thực hiện. “Một lỗ hổng bảo mật không được khắc phục càng lâu thì càng có nhiều khả năng bị khai thác và việc khắc phục càng trở nên khó khăn hơn”, báo cáo nêu rõ.

Xem xét các quyền mà ứng dụng yêu cầu

Có những lỗ hổng khác, chẳng hạn như kết nối giữa ứng dụng và máy chủ của tổ chức tài chính có thể không hoàn toàn an toàn. Điểm mấu chốt mà báo cáo đã xem xét là các quyền được các ứng dụng hợp pháp yêu cầu để truy cập các chức năng hoặc dữ liệu trong thiết bị.

Các ứng dụng liên quan đến tài chính đòi hỏi các quyền đặc biệt cao so với các loại ứng dụng khác. Theo phân tích của Synopsys, ứng dụng ngân hàng có trung bình 25 quyền, ứng dụng thanh toán 25 quyền và ứng dụng ngân sách 26 quyền.

Số quyền trung bình các nhóm ứng dụng yêu cầu: Các nhóm ứng dụng lập ngân sách, thanh toán và ngân hàng đòi hỏi nhiều quyền nhất

Theo Synopsys, trách nhiệm thuộc về cả hai phía. Các nhà phát triển cần phải hiểu rõ những quyền nào đang được yêu cầu bởi các thành phần mà họ sử dụng để xây dựng ứng dụng của họ. Bên cạnh đó, người tiêu dùng cần phải biết rõ họ cấp quyền gì khi ứng dụng yêu cầu họ và nghiêm túc xem xét liệu họ có nên đồng ý hay không.

Mackey nói: “Một số quyền được coi là nhạy cảm hơn. Quyền truy cập vào điện thoại hoặc tin nhắn văn bản, máy ảnh và thông tin vị trí của bạn là những bộ quyền khá nhạy cảm mà bạn không muốn cấp cho bất kỳ ứng dụng nào (một cách dễ dàng)”.

“Quyền phải phù hợp với những gì mọi người mong đợi về ứng dụng đó. Một số quyền ngân hàng sẽ liên quan đến các yêu cầu nhạy cảm hơn, những thứ sẽ không có ý nghĩa gì nếu bạn chỉ sử dụng ứng dụng Yelp (một ứng dụng đặt thức ăn)”.

Mackey nói rằng người tiêu dùng nên phản đối khi có quá nhiều quyền được yêu cầu. Họ nên liên hệ với với tổ chức (tài chính) của họ và nói: "Tôi đã cố tải xuống ứng dụng của bạn và nó đã yêu cầu rất nhiều thứ. Điều đó không có ý nghĩa gì đối với tôi. Những thứ đó cần để làm gì?" và có thể bản tải xuống mà người dùng cuối tải xuống thực sự không phải là ứng dụng chính thức, mà là một ứng dụng giả mạo trông giống như ứng dụng chính thức.

Theo An toàn Thông tin

Bình luận

Tối thiểu 10 chữ Tiếng việt có dấu Không chứa liên kết

Gửi bình luận

Tin cùng chuyên mục

APAC tăng cường kiến thức an ninh mạng trong trường học

APAC tăng cường kiến thức an ninh mạng trong trường học

Fortinet ra mắt Trợ lý bảo mật AI IoT thế hệ đầu tiên

Fortinet ra mắt Trợ lý bảo mật AI IoT thế hệ đầu tiên

Các doanh nghiệp Đông Nam Á tiếp tục bị tấn công bởi Bruteforce

Các doanh nghiệp Đông Nam Á tiếp tục bị tấn công bởi Bruteforce

Sẽ có phần mềm phòng chống lừa đảo qua mạng cho người dân vào tháng 7

Sẽ có phần mềm phòng chống lừa đảo qua mạng cho người dân vào tháng 7

Không khoan nhượng với tội phạm bản quyền trực tuyến

Không khoan nhượng với tội phạm bản quyền trực tuyến

Kaspersky ra mắt dòng sản phẩm mới dành cho doanh nghiệp

Kaspersky ra mắt dòng sản phẩm mới dành cho doanh nghiệp

7 yếu tố quan trọng để khôi phục dữ liệu sau khi bị tấn công ransomware 

7 yếu tố quan trọng để khôi phục dữ liệu sau khi bị tấn công ransomware 

Zalo gặp sự cố, người dùng tạm thời không thể gửi tin nhắn và hình ảnh

Zalo gặp sự cố, người dùng tạm thời không thể gửi tin nhắn và hình ảnh

Giải mã xu hướng bảo mật OT tại FORTINET APAC OT Security Summit 2024

Giải mã xu hướng bảo mật OT tại FORTINET APAC OT Security Summit 2024

Tăng cường biện pháp phòng ngừa và phản ứng trước các vụ lừa đảo tiền điện tử

Tăng cường biện pháp phòng ngừa và phản ứng trước các vụ lừa đảo tiền điện tử

Cục An toàn thông tin cảnh báo 4 lỗ hổng bảo mật mới của Microsoft đang đe dọa hệ thống tại Việt Nam

Cục An toàn thông tin cảnh báo 4 lỗ hổng bảo mật mới của Microsoft đang đe dọa hệ thống tại Việt Nam

Cảnh báo không quảng cáo trên hàng trăm trang web vi phạm

Cảnh báo không quảng cáo trên hàng trăm trang web vi phạm

Tin mới cập nhật

Học viện Công nghệ Bưu chính Viễn thông dẫn đầu về Đổi mới trong Bảng xếp hạng Scimago 2024

Học viện Công nghệ Bưu chính Viễn thông dẫn đầu về Đổi mới trong Bảng xếp hạng Scimago 2024

Internet sẽ tồn tại vĩnh viễn?

Internet sẽ tồn tại vĩnh viễn?

Vẫn tranh luận rút bảo hiểm xã hội một lần, đề xuất lùi thời gian thông qua luật

Vẫn tranh luận rút bảo hiểm xã hội một lần, đề xuất lùi thời gian thông qua luật

Làm công tác cán bộ thì việc chính cũng là đi tìm người tài

Làm công tác cán bộ thì việc chính cũng là đi tìm người tài

Elon Musk thông báo chế tạo siêu máy tính lớn nhất thế giới

Elon Musk thông báo chế tạo siêu máy tính lớn nhất thế giới

Pháp luật không cho phép trưởng khoa làm Giám đốc doanh nghiệp ngoài trường

Pháp luật không cho phép trưởng khoa làm Giám đốc doanh nghiệp ngoài trường

Cần chính sách ổn định, minh bạch cho chuyển đổi xanh để phát triển bền vững

Cần chính sách ổn định, minh bạch cho chuyển đổi xanh để phát triển bền vững

Trung Quốc: Cấm hành vi khoe khoang, phung phí trên mạng xã hội

Trung Quốc: Cấm hành vi khoe khoang, phung phí trên mạng xã hội

TP.HCM sẽ có đa phương tiện kết nối xe buýt, xe đạp đến các ga Metro số 1

TP.HCM sẽ có đa phương tiện kết nối xe buýt, xe đạp đến các ga Metro số 1

Cục Thuế tỉnh Hậu Giang: Dầu khí Nam Sông Hậu tiếp tục dẫn đầu danh sách nợ thuế

Cục Thuế tỉnh Hậu Giang: Dầu khí Nam Sông Hậu tiếp tục dẫn đầu danh sách nợ thuế

Bộ TT&TT phê duyệt Kế hoạch hành động triển khai Chiến lược dữ liệu quốc gia đến năm 2030

Bộ TT&TT phê duyệt Kế hoạch hành động triển khai Chiến lược dữ liệu quốc gia đến năm 2030

Cơ hội mua hàng giá rẻ tại chương trình khuyến mại tập trung Hà Nội

Cơ hội mua hàng giá rẻ tại chương trình khuyến mại tập trung Hà Nội

Tin đọc nhiều

APAC tăng cường kiến thức an ninh mạng trong trường học

APAC tăng cường kiến thức an ninh mạng trong trường học

VNPT Cyber Immunity chia sẻ kinh nghiệm và giải pháp bảo mật

VNPT Cyber Immunity chia sẻ kinh nghiệm và giải pháp bảo mật

Ghi nhận 492.105 địa chỉ IP của Việt Nam nằm trong mạng botnet

Ghi nhận 492.105 địa chỉ IP của Việt Nam nằm trong mạng botnet

 5 bước bảo vệ doanh nghiệp suốt mùa lễ Tết

 5 bước bảo vệ doanh nghiệp suốt mùa lễ Tết

TikTok đang bị coi là mối đe doạ an ninh mới với nước Mỹ

TikTok đang bị coi là mối đe doạ an ninh mới với nước Mỹ

DarkSide - Nhóm tội phạm mạng tấn công hệ thống nhiên liệu "huyết mạch" của Mỹ

DarkSide - Nhóm tội phạm mạng tấn công hệ thống nhiên liệu "huyết mạch" của Mỹ

FireEye bị xâm nhập bằng backdoor từ phần mềm SolarWinds

FireEye bị xâm nhập bằng backdoor từ phần mềm SolarWinds

Tấn công kênh kề mới vào bộ xử lý của Intel, ARM, IBM và AMD

Tấn công kênh kề mới vào bộ xử lý của Intel, ARM, IBM và AMD

Lỗ hổng vượt qua xác thực mã PIN mới ảnh hưởng tới thanh toán Visa

Lỗ hổng vượt qua xác thực mã PIN mới ảnh hưởng tới thanh toán Visa

Khi hệ thống OT gia tăng phạm vi kết nối, bảo mật OT sẽ trở nên thách thức hơn

Khi hệ thống OT gia tăng phạm vi kết nối, bảo mật OT sẽ trở nên thách thức hơn

Video xem nhiều

Mazda2 2021 Collection ra mắt Thái Lan: Bản nâng cấp vượt trội về công nghệ

Mazda2 2021 Collection ra mắt Thái Lan: Bản nâng cấp vượt trội về công nghệ

Isuzu Mu-X 2021 hoàn toàn mới: Thiết kế hiện đại và đầy công nghệ

Isuzu Mu-X 2021 hoàn toàn mới: Thiết kế hiện đại và đầy công nghệ

Honda MSX 125 Grom 2021 mẫu xe côn tay phiên bản đường đua

Honda MSX 125 Grom 2021 mẫu xe côn tay phiên bản đường đua

Geneva Motor Show 2020: Bentley hé lộ siêu xe Bacalar triệu đô

Geneva Motor Show 2020: Bentley hé lộ siêu xe Bacalar triệu đô

Lộ diện siêu xe hypercar Czinger 21C tăng tốc 0-100km/h chưa tới 2 giây

Lộ diện siêu xe hypercar Czinger 21C tăng tốc 0-100km/h chưa tới 2 giây

Cô bé 14 tuổi tìm ra giải pháp mới xóa điểm mù trên xe hơi

Cô bé 14 tuổi tìm ra giải pháp mới xóa điểm mù trên xe hơi

Cận cảnh Fujifilm X-Pro3 thiết kế hoài cổ thách thức thời gian

Cận cảnh Fujifilm X-Pro3 thiết kế hoài cổ thách thức thời gian

Một ngày trải nghiệm giấc mơ trở thành tay đua F1 chuyên nghiệp ở Nhật Bản

Một ngày trải nghiệm giấc mơ trở thành tay đua F1 chuyên nghiệp ở Nhật Bản

Kỷ niệm 74 năm ngày truyền thống ngành Bưu điện (15/8/1945 - 15/8/2019)

Kỷ niệm 74 năm ngày truyền thống ngành Bưu điện (15/8/1945 - 15/8/2019)

Mặt nạ LG Derma LED mask - Thiết bị làm đẹp da cá nhân

Mặt nạ LG Derma LED mask - Thiết bị làm đẹp da cá nhân

Sếp nhà bán lẻ làm lộ ngày bán iPhone 11

Sếp nhà bán lẻ làm lộ ngày bán iPhone 11

5G thay đổi tương lai của bạn như thế nào?

5G thay đổi tương lai của bạn như thế nào?

Bàn về tầm nhìn và các trụ cột của công nghệ thông tin di động 6G
04/03/2022
Chip xử lý A15 Bionic của Apple có gì mới
15/09/2021
Sex Education mùa 3 được Netflix công chiếu vào 17/9
14/09/2021
iPhone 13 không thay đổi nhiều về ngoại hình, camera được nâng cấp mạnh
13/09/2021
Cách xem trực tiếp sự kiện ra mắt iPhone 13 và Apple Watch 7
10/09/2021
VNEID của Bộ Công an khác các ứng dụng đang được vận hành?
10/09/2021
'Cái tôi' thời 4.0 và tính hai mặt của mạng xã hội
04/09/2021
'Muôn màu' cảm xúc của trẻ trong ngày khai giảng online
24/08/2021
Chủ tịch Chu Ngọc Anh giải toả 'ách tắc' về Giấy đi đường cho người dân Thủ đô
10/08/2021
Hàng loạt Macbook M1 tự dưng vỡ màn hình, Apple có đồng ý bảo hành?
02/08/2021
6 bộ phim hay nhất để xem trên VieON
29/01/2021
Bắc Ninh: Không ký kết triển khai dự án Owifi 5G với CSE Singapore
27/06/2020
Bị World Bank cấm dự thầu 7 năm, công ty Sao Bắc Đẩu thừa nhận sai sót
27/06/2020
Wefinex - Mô hình hoạt động đa cấp "đội lốt" đầu tài chính trên mạng internet
10/06/2020
Khai trừ MISA khỏi Câu lạc bộ Chữ ký số và Giao dịch điện tử Việt Nam
27/05/2020
Chuyển đổi số - Nên hiểu như thế nào cho đúng
25/05/2020
Chống thất thu thuế là thách thức lớn đối với nền kinh tế số
29/04/2020
Cách chuyển tập tin sang máy tính mới
10/11/2019
VNPT, MobiFone, VTC sẽ hoàn thành cổ phần hóa trước năm 2021
20/08/2019
5G thay đổi tương lai của bạn như thế nào?
26/07/2019
Nhận diện hành vi lừa đảo trên không gian mạng
25/07/2019
Truyền hình OTT - Hướng đi mới của các “nhà Đài”
24/07/2019