Các ứng dụng ngân hàng di động có thể làm lộ dữ liệu riêng tư của khách hàng

Đào Công
02/06/2021 08:57
D

Mặc dù năm 2020 có thể được gọi là “Năm của ứng dụng ngân hàng”, nhưng trên thực tế không phải là tất cả đều tốt đẹp. Xu hướng phát triển ứng dụng này khiến các tổ chức tài chính phải chịu trách nhiệm nhiều hơn trong việc duy trì kiểm soát chặt chẽ việc phát triển và bảo trì ứng dụng của họ cũng như giúp người tiêu dùng tự bảo vệ mình.

Số lượt cài đặt các ứng dụng tài chính trên thiết bị di động đã tăng 15% vào năm 2020 khi nhiều người tiêu dùng cần các phương tiện từ xa để xử lý giao dịch ngân hàng của họ, như được theo dõi trong một nghiên cứu của Liftoff và App Annie. Trên toàn cầu, mọi người đã cài đặt 4,6 tỷ ứng dụng tài chính và dành 16,3 tỷ giờ sử dụng chúng, tăng 45% so với năm 2019.

Đó là một năm vấn đề tăng trưởng nóng đối với ứng dụng ngân hàng di động, vì có rất nhiều người lần đầu tiên tải xuống và khám phá các chương trình này. Với sự tăng trưởng đó, có một cảnh báo đáng kể: Điều mà nhiều người dùng mới và có kinh nghiệm có thể không biết là họ cũng có thể đã tải xuống nhiều ứng dụng tạo cơ hội cho tin tặc và những người khác có thể khai thác lỗ hổng trong các thành phần ứng dụng.

Trung tâm nghiên cứu an ninh mạng Synopsys đã đánh giá hơn 3.000 ứng dụng Android phổ biến nhất được xếp hạng trên Google Play, bao gồm 107 ứng dụng ngân hàng. Các ứng dụng đó đến từ khắp nơi trên thế giới. Phân tích được thực hiện bằng cách sử dụng phần mềm bảo mật Black Duck, vốn được thiết kế để phát hiện các lỗ hổng.

Đa số các ứng dụng có vấn đề tiềm ẩn

Trong số 107 ứng dụng ngân hàng, 88% chứa một số dạng lỗ hổng đã biết, so với mức trung bình của tất cả các danh mục ứng dụng là 63%. Trung bình, mỗi ứng dụng ngân hàng chứa 55 lỗ hổng bảo mật. Báo cáo của công ty cho biết: “Các ứng dụng tài chính yêu cầu một số dữ liệu nhạy cảm cá nhân nhất, khiến những con số này trở nên đáng báo động do tác động tiềm ẩn của một vi phạm bảo mật”.

Thật vậy, các ứng dụng ngân hàng - bao gồm các ứng dụng từ ngân hàng, fintech và các loại hình công ty liên quan cho thấy mức rủi ro tiềm ẩn cao đối với việc mất thông tin cá nhân hoặc bị xâm nhập khác. Chỉ có hai danh mục ứng dụng trò chơi có mức rủi ro cao hơn ứng dụng ngân hàng và ngay sau đó là ứng dụng lập ngân sách và thanh toán.

Phân tích của Synosys đã xem xét ba lĩnh vực chính liên quan tới khả năng xảy ra lỗ hổng bảo mật của ứng dụng:

  • Các lỗ hổng bảo mật trong phần mềm “mã nguồn mở” được các nhà phát triển ứng dụng sử dụng rộng rãi. Phân tích cho thấy 98% trong số hàng nghìn ứng dụng được quét có chứa một số cấu phần phần mềm nguồn mở. Đây là phần mềm có thể được cấp phép công khai và được tích hợp vào các chương trình khác.
  • Các trường hợp rò rỉ thông tin có thể xảy ra do các nhà phát triển ứng dụng vô tình để lại dữ liệu nhạy cảm như mật khẩu hoặc khóa.
  • Quyền cấp cho thiết bị di động - khi ứng dụng yêu cầu người dùng cho phép ứng dụng đó khai thác các chức năng khác nhau của thiết bị di động như máy ảnh hoặc dịch vụ định vị, có thể vượt quá những gì cần thiết hoặc có thể khiến dữ liệu cá nhân bị xâm phạm.

Đối với người tiêu dùng, báo cáo này nhấn mạnh một thực tế đáng kinh ngạc rằng ngay cả các ứng dụng di động phổ biến nhất cũng không tránh khỏi các điểm yếu về bảo mật và quyền riêng tư và không nên được tin tưởng hoàn toàn. Đối với các nhà phát triển ứng dụng, điều này nhấn mạnh nhu cầu cấp thiết đối với các phương pháp phát triển phần mềm an toàn cũng như bảo vệ quyền riêng tư và bảo mật tổng thể tốt hơn.

Điều này trái ngược với cách mà hầu hết mọi người tải xuống ứng dụng vì đủ loại lý do mà ít nghĩ đến những hậu quả có thể xảy ra. Theo Tim Mackey, Nhà chiến lược bảo mật chính của công ty Synopsys đã đánh giá các ứng dụng Android vì chúng có thể được tải xuống theo cách cho phép phân tích từng phần và từ đầu tới cuối. Ông giải thích, các ứng dụng tải xuống từ Apple Store đều được mã hóa và không thể phân tích theo cách đó, mặc dù các lỗ hổng bảo mật có thể tương tự nhau.

Nguồn lỗ hổng trong ứng dụng ngân hàng

Việc các ứng dụng ngân hàng có lỗ hổng tiềm tàng gặp phải không có nghĩa là các vụ rò rỉ lớn đang xảy ra, nhưng chúng có thể xảy ra, đặc biệt nếu các nhà cung cấp dịch vụ tài chính và người tiêu dùng không tuân thủ các biện pháp cẩn trọng và sử dụng an toàn.

Trong báo cáo gian lận hàng quý vào tháng 3/2021, RSA Security đã báo cáo rằng, trên web, trình duyệt di động và ứng dụng dành cho thiết bị di động, các ứng dụng chiếm 44% số vụ gian lận trong quý 4/2020, do việc sử dụng ứng dụng ngày càng tăng trong đại dịch (các số liệu RSA bao gồm gian lận ứng dụng giả mạo, khi bọn tội phạm sử dụng các ứng dụng giả mạo để đánh lừa mọi người tải chúng. Sau đó, chúng có thể đánh cắp thẻ tín dụng và các dữ liệu nhạy cảm khác).

Để minh họa cho cá rủi ro phát sinh, trong một cuộc phỏng vấn, Mackey giải thích rằng thời kỳ mà mọi thứ trong một gói phần mềm được phát triển hoàn toàn bởi tổ chức phát hành sản phẩm cuối cùng đã qua từ lâu. “Ngày nay có nhiều tác động của chuỗi cung ứng hơn. Các cấu phần đến từ các thư viện mã được phát triển bởi người khác hoặc thậm chí một nhóm nào đó”. Thông thường, các thư viện này được xây dựng trên phần mềm mã nguồn mở, được cấp phép và thường có các lỗ hổng bảo mật chỉ được sửa khi chúng được phát hiện.

Mackey nói tiếp: “Khi nói đến những thứ liên quan đến bảo mật, bạn sẽ không tìm thấy nhà phát triển phần mềm trung bình nào thành thạo về những thứ như mật mã và mã hóa. Họ sẽ sử dụng thư viện của bên thứ ba do một nhóm hiểu rất rõ về bảo mật tạo ra và thỉnh thoảng phần mềm của họ mắc lỗi, vì vậy họ đưa ra các bản vá lỗi".

Rò rỉ trong quy trình vá lỗi

Một trong những lỗ hổng trong ứng dụng là quy trình vá lỗi: Đảm bảo rằng các bản vá sẽ được chuyển từ các nhà phát triển ban đầu đến các nhà phát triển trong các tổ chức tài chính, những người đưa nhiều cấu phần vào ứng dụng, rồi đến App Store hoặc Google Play và cuối cùng là đến tay người tiêu dùng. Trong kịch bản lý tưởng, các bản tải mới đã được vá và cập nhật. Khi đó người tiêu dùng thường cho phép các ứng dụng trên điện thoại hoặc máy tính bảng của họ được cập nhật khi họ nhận được thông báo có bản vá.

Mackey so sánh điều này với quy trình sản xuất ô tô, nơi nhiều thành phần được sản xuất bởi các nhà thầu phụ và lắp ráp tại nhà máy để xuất xưởng những chiếc ô tô. Trong cách so sánh này, các bản vá lỗi giống như việc thu hồi những chiếc ô tô bị lỗi.

Ứng dụng ngân hàng có nhiều chức năng có thể yêu cầu giao tiếp với các tổ chức khác và với nhiều chức năng trên thiết bị di động. Chụp ảnh séc, thanh toán qua Zelle hoặc Venmo hoặc PayPal và rất nhiều yêu cầu khác có thể xuất phát từ bên ngoài.

Ông cho rằng nếu các tổ chức tài chính không chú ý đến các thông báo về các vấn đề bảo mật, hiệu suất hoặc ổn định, thì đó là lúc rò rỉ dữ liệu có thể xảy ra. Nếu người dùng cuối của ứng dụng đã tắt cập nhật, họ sẽ tự chịu rủi ro. Mackey cho biết ông nhận được khá nhiều bản cập nhật mỗi tối từ tất cả các ứng dụng có trên điện thoại di động của mình.

Nếu bất kỳ liên kết nào trong chuỗi liên lạc bị hỏng, thì việc sửa chữa sẽ không được thực hiện. “Một lỗ hổng bảo mật không được khắc phục càng lâu thì càng có nhiều khả năng bị khai thác và việc khắc phục càng trở nên khó khăn hơn”, báo cáo nêu rõ.

Xem xét các quyền mà ứng dụng yêu cầu

Có những lỗ hổng khác, chẳng hạn như kết nối giữa ứng dụng và máy chủ của tổ chức tài chính có thể không hoàn toàn an toàn. Điểm mấu chốt mà báo cáo đã xem xét là các quyền được các ứng dụng hợp pháp yêu cầu để truy cập các chức năng hoặc dữ liệu trong thiết bị.

Các ứng dụng liên quan đến tài chính đòi hỏi các quyền đặc biệt cao so với các loại ứng dụng khác. Theo phân tích của Synopsys, ứng dụng ngân hàng có trung bình 25 quyền, ứng dụng thanh toán 25 quyền và ứng dụng ngân sách 26 quyền.

Số quyền trung bình các nhóm ứng dụng yêu cầu: Các nhóm ứng dụng lập ngân sách, thanh toán và ngân hàng đòi hỏi nhiều quyền nhất

Theo Synopsys, trách nhiệm thuộc về cả hai phía. Các nhà phát triển cần phải hiểu rõ những quyền nào đang được yêu cầu bởi các thành phần mà họ sử dụng để xây dựng ứng dụng của họ. Bên cạnh đó, người tiêu dùng cần phải biết rõ họ cấp quyền gì khi ứng dụng yêu cầu họ và nghiêm túc xem xét liệu họ có nên đồng ý hay không.

Mackey nói: “Một số quyền được coi là nhạy cảm hơn. Quyền truy cập vào điện thoại hoặc tin nhắn văn bản, máy ảnh và thông tin vị trí của bạn là những bộ quyền khá nhạy cảm mà bạn không muốn cấp cho bất kỳ ứng dụng nào (một cách dễ dàng)”.

“Quyền phải phù hợp với những gì mọi người mong đợi về ứng dụng đó. Một số quyền ngân hàng sẽ liên quan đến các yêu cầu nhạy cảm hơn, những thứ sẽ không có ý nghĩa gì nếu bạn chỉ sử dụng ứng dụng Yelp (một ứng dụng đặt thức ăn)”.

Mackey nói rằng người tiêu dùng nên phản đối khi có quá nhiều quyền được yêu cầu. Họ nên liên hệ với với tổ chức (tài chính) của họ và nói: "Tôi đã cố tải xuống ứng dụng của bạn và nó đã yêu cầu rất nhiều thứ. Điều đó không có ý nghĩa gì đối với tôi. Những thứ đó cần để làm gì?" và có thể bản tải xuống mà người dùng cuối tải xuống thực sự không phải là ứng dụng chính thức, mà là một ứng dụng giả mạo trông giống như ứng dụng chính thức.

Theo An toàn Thông tin

Bình luận

Tối thiểu 10 chữ Tiếng việt có dấu Không chứa liên kết

Gửi bình luận

Tin cùng chuyên mục

Rủi ro an ninh mạng gia tăng do robot hóa

Rủi ro an ninh mạng gia tăng do robot hóa

Xu hướng tội phạm mạng năm 2023 có gì mới?

Xu hướng tội phạm mạng năm 2023 có gì mới?

'Cần tăng cường an ninh mạng thông qua hợp tác'

'Cần tăng cường an ninh mạng thông qua hợp tác'

Rủi ro bảo mật từ ứng dụng Qatar World Cup

Rủi ro bảo mật từ ứng dụng Qatar World Cup

Lượng mã độc đào tiền mã hóa tăng chóng mặt

Lượng mã độc đào tiền mã hóa tăng chóng mặt

Nguy cơ tấn công mạng vào hệ thống tại Việt Nam từ 18 lỗ hổng trong sản phẩm Microsoft

Nguy cơ tấn công mạng vào hệ thống tại Việt Nam từ 18 lỗ hổng trong sản phẩm Microsoft

Fortinet cấp hơn 1 triệu chứng chỉ chuyên gia an ninh mạng trên toàn cầu

Fortinet cấp hơn 1 triệu chứng chỉ chuyên gia an ninh mạng trên toàn cầu

Hơn 1,6 triệu hành vi giả mạo liên quan đến tài chính ở Đông Nam Á

Hơn 1,6 triệu hành vi giả mạo liên quan đến tài chính ở Đông Nam Á

FPT Cloud WAF: tường lửa dành cho doanh nghiệp trong thời đại số

FPT Cloud WAF: tường lửa dành cho doanh nghiệp trong thời đại số

Kaspersky ra mắt dịch vụ bảo mật Kaspersky Digital Footprint Intelligence (DFI)

Kaspersky ra mắt dịch vụ bảo mật Kaspersky Digital Footprint Intelligence (DFI)

Hơn 300.000 phần mềm đánh cắp mật khẩu đã bị ngăn chặn

Hơn 300.000 phần mềm đánh cắp mật khẩu đã bị ngăn chặn

Người dùng Internet Việt thiệt hại 374 triệu USD bởi lừa đảo qua mạng

Người dùng Internet Việt thiệt hại 374 triệu USD bởi lừa đảo qua mạng

Tin mới cập nhật

Những dấu hiệu ung thư miệng

Những dấu hiệu ung thư miệng

Panasonic Việt Nam lọt Top 100 Doanh nghiệp Bền vững năm 2022

Panasonic Việt Nam lọt Top 100 Doanh nghiệp Bền vững năm 2022

Amazon cam kết hỗ trợ DN vừa và nhỏ Việt Nam trên hành trình xuất khẩu toàn cầu

Amazon cam kết hỗ trợ DN vừa và nhỏ Việt Nam trên hành trình xuất khẩu toàn cầu

Mừng sinh nhật 3 tuổi, UNIQLO tổ chức nhiều hoạt động ý nghĩa

Mừng sinh nhật 3 tuổi, UNIQLO tổ chức nhiều hoạt động ý nghĩa

FPT năm thứ 11 lọt Top 50 công ty kinh doanh hiệu quả nhất Việt Nam

FPT năm thứ 11 lọt Top 50 công ty kinh doanh hiệu quả nhất Việt Nam

Nhà máy Ford Hải Dương kỷ niệm 25 năm hoạt động

Nhà máy Ford Hải Dương kỷ niệm 25 năm hoạt động

iPad Gen 10 chính thức lên kệ với giá chỉ từ 10,99 triệu đồng

iPad Gen 10 chính thức lên kệ với giá chỉ từ 10,99 triệu đồng

Thủ đoạn của tội phạm công nghệ cao và cách đối phó

Thủ đoạn của tội phạm công nghệ cao và cách đối phó

Bóng đá Việt Nam đang nỗ lực hiện thực hóa giấc mơ World Cup

Bóng đá Việt Nam đang nỗ lực hiện thực hóa giấc mơ World Cup

Toyota bZ4X - Khả năng vận hành không như công bố

Toyota bZ4X - Khả năng vận hành không như công bố

Có thể bạn chưa biết: 5 nghiên cứu khoa học giúp cuộc sống trở nên ý nghĩa hơn

Có thể bạn chưa biết: 5 nghiên cứu khoa học giúp cuộc sống trở nên ý nghĩa hơn

7.500 vệ tinh của SpaceX được Mỹ phê duyệt triển khai

7.500 vệ tinh của SpaceX được Mỹ phê duyệt triển khai

Tin đọc nhiều

Colonial Pipeline bị buộc phải điều trần về sự cố vấn công mạng tống tiền

Colonial Pipeline bị buộc phải điều trần về sự cố vấn công mạng tống tiền

Giá xăng dầu có thể bị ảnh hưởng khi hệ thống truyền dẫn nhiên liệu lớn nhất nước Mỹ bị tấn công mạng

Giá xăng dầu có thể bị ảnh hưởng khi hệ thống truyền dẫn nhiên liệu lớn nhất nước Mỹ bị tấn công mạng

Security World 2021 nhận diện thách thức ATTT với những bước tăng trưởng "nóng" của chuyển đổi số

Security World 2021 nhận diện thách thức ATTT với những bước tăng trưởng "nóng" của chuyển đổi số

Cài đặt app giả mạo Bộ Công an bị mất 6,1 tỉ đồng

Cài đặt app giả mạo Bộ Công an bị mất 6,1 tỉ đồng

Tin tặc tấn công dữ liệu vắc xin COVID-19 của Pfizer/BioNTech để làm gì?

Tin tặc tấn công dữ liệu vắc xin COVID-19 của Pfizer/BioNTech để làm gì?

Google vá lỗ hổng zero-day trên Chrome lần thứ hai trong hai tuần

Google vá lỗ hổng zero-day trên Chrome lần thứ hai trong hai tuần

Lỗ hổng vượt qua xác thực mã PIN mới ảnh hưởng tới thanh toán Visa

Lỗ hổng vượt qua xác thực mã PIN mới ảnh hưởng tới thanh toán Visa

Camera an ninh có thể báo cho tội phạm mạng biết khi nào bạn không ở nhà

Camera an ninh có thể báo cho tội phạm mạng biết khi nào bạn không ở nhà

Cảnh báo lỗ hổng Windows DNS Server có thể làm sập hệ thống doanh nghiệp

Cảnh báo lỗ hổng Windows DNS Server có thể làm sập hệ thống doanh nghiệp

Quy trình quản lý vật chứa bí mật nhà nước

Quy trình quản lý vật chứa bí mật nhà nước

Video xem nhiều

Đại học Miami tạo ra cảm biến chất lượng không khí phát hiện Covid-19

Đại học Miami tạo ra cảm biến chất lượng không khí phát hiện Covid-19

Ford F-150 Lightning 2022 ra mắt: Bán tải chạy điện giá khởi điểm chưa đến 40 nghìn USD

Ford F-150 Lightning 2022 ra mắt: Bán tải chạy điện giá khởi điểm chưa đến 40 nghìn USD

Thông điệp lan tỏa mùa dịch COVID-19

Thông điệp lan tỏa mùa dịch COVID-19

Clip: Khuyến cáo đối với người lao động, người làm việc, người bán hàng tại khu dịch vụ trong dịch Covid-19

Clip: Khuyến cáo đối với người lao động, người làm việc, người bán hàng tại khu dịch vụ trong dịch Covid-19

Cỗ xe lai phản lực tăng tốc từ 0 - 1010 km/h trong 50 giây tham vọng phá kỷ lục thế giới

Cỗ xe lai phản lực tăng tốc từ 0 - 1010 km/h trong 50 giây tham vọng phá kỷ lục thế giới

“Rắn tiên tri” dự đoán đội tuyển Việt Nam thắng Thái Lan

“Rắn tiên tri” dự đoán đội tuyển Việt Nam thắng Thái Lan

Pretzel - Bánh quy cây: Biểu tượng văn hoá châu Âu với nhiều tranh cãi về nguồn gốc

Pretzel - Bánh quy cây: Biểu tượng văn hoá châu Âu với nhiều tranh cãi về nguồn gốc

Làm thế nào để nâng cao tương tác giữa loa và phòng nghe hiệu quả

Làm thế nào để nâng cao tương tác giữa loa và phòng nghe hiệu quả

Trực tiếp: Apple ra mắt Iphone 11 tại Cupertino, California, Mỹ

Trực tiếp: Apple ra mắt Iphone 11 tại Cupertino, California, Mỹ

Chiếc điều hòa cá nhân này của Sony là tất cả những gì bạn cần để sống sót qua mùa hè nóng nực

Chiếc điều hòa cá nhân này của Sony là tất cả những gì bạn cần để sống sót qua mùa hè nóng nực

Những gì bạn muốn biết về 5G

Những gì bạn muốn biết về 5G

5G thay đổi tương lai của bạn như thế nào?

5G thay đổi tương lai của bạn như thế nào?

Bàn về tầm nhìn và các trụ cột của công nghệ thông tin di động 6G
04/03/2022
Chip xử lý A15 Bionic của Apple có gì mới
15/09/2021
Sex Education mùa 3 được Netflix công chiếu vào 17/9
14/09/2021
iPhone 13 không thay đổi nhiều về ngoại hình, camera được nâng cấp mạnh
13/09/2021
Cách xem trực tiếp sự kiện ra mắt iPhone 13 và Apple Watch 7
10/09/2021
VNEID của Bộ Công an khác các ứng dụng đang được vận hành?
10/09/2021
'Cái tôi' thời 4.0 và tính hai mặt của mạng xã hội
04/09/2021
'Muôn màu' cảm xúc của trẻ trong ngày khai giảng online
24/08/2021
Chủ tịch Chu Ngọc Anh giải toả 'ách tắc' về Giấy đi đường cho người dân Thủ đô
10/08/2021
Hàng loạt Macbook M1 tự dưng vỡ màn hình, Apple có đồng ý bảo hành?
02/08/2021
6 bộ phim hay nhất để xem trên VieON
29/01/2021
Bắc Ninh: Không ký kết triển khai dự án Owifi 5G với CSE Singapore
27/06/2020
Bị World Bank cấm dự thầu 7 năm, công ty Sao Bắc Đẩu thừa nhận sai sót
27/06/2020
Wefinex - Mô hình hoạt động đa cấp "đội lốt" đầu tài chính trên mạng internet
10/06/2020
Khai trừ MISA khỏi Câu lạc bộ Chữ ký số và Giao dịch điện tử Việt Nam
27/05/2020
Chuyển đổi số - Nên hiểu như thế nào cho đúng
25/05/2020
Chống thất thu thuế là thách thức lớn đối với nền kinh tế số
29/04/2020
Cách chuyển tập tin sang máy tính mới
10/11/2019
VNPT, MobiFone, VTC sẽ hoàn thành cổ phần hóa trước năm 2021
20/08/2019
5G thay đổi tương lai của bạn như thế nào?
26/07/2019
Nhận diện hành vi lừa đảo trên không gian mạng
25/07/2019
Truyền hình OTT - Hướng đi mới của các “nhà Đài”
24/07/2019