Các ứng dụng ngân hàng di động có thể làm lộ dữ liệu riêng tư của khách hàng

Đào Công
02/06/2021 08:57
D

Mặc dù năm 2020 có thể được gọi là “Năm của ứng dụng ngân hàng”, nhưng trên thực tế không phải là tất cả đều tốt đẹp. Xu hướng phát triển ứng dụng này khiến các tổ chức tài chính phải chịu trách nhiệm nhiều hơn trong việc duy trì kiểm soát chặt chẽ việc phát triển và bảo trì ứng dụng của họ cũng như giúp người tiêu dùng tự bảo vệ mình.

Số lượt cài đặt các ứng dụng tài chính trên thiết bị di động đã tăng 15% vào năm 2020 khi nhiều người tiêu dùng cần các phương tiện từ xa để xử lý giao dịch ngân hàng của họ, như được theo dõi trong một nghiên cứu của Liftoff và App Annie. Trên toàn cầu, mọi người đã cài đặt 4,6 tỷ ứng dụng tài chính và dành 16,3 tỷ giờ sử dụng chúng, tăng 45% so với năm 2019.

Đó là một năm vấn đề tăng trưởng nóng đối với ứng dụng ngân hàng di động, vì có rất nhiều người lần đầu tiên tải xuống và khám phá các chương trình này. Với sự tăng trưởng đó, có một cảnh báo đáng kể: Điều mà nhiều người dùng mới và có kinh nghiệm có thể không biết là họ cũng có thể đã tải xuống nhiều ứng dụng tạo cơ hội cho tin tặc và những người khác có thể khai thác lỗ hổng trong các thành phần ứng dụng.

Trung tâm nghiên cứu an ninh mạng Synopsys đã đánh giá hơn 3.000 ứng dụng Android phổ biến nhất được xếp hạng trên Google Play, bao gồm 107 ứng dụng ngân hàng. Các ứng dụng đó đến từ khắp nơi trên thế giới. Phân tích được thực hiện bằng cách sử dụng phần mềm bảo mật Black Duck, vốn được thiết kế để phát hiện các lỗ hổng.

Đa số các ứng dụng có vấn đề tiềm ẩn

Trong số 107 ứng dụng ngân hàng, 88% chứa một số dạng lỗ hổng đã biết, so với mức trung bình của tất cả các danh mục ứng dụng là 63%. Trung bình, mỗi ứng dụng ngân hàng chứa 55 lỗ hổng bảo mật. Báo cáo của công ty cho biết: “Các ứng dụng tài chính yêu cầu một số dữ liệu nhạy cảm cá nhân nhất, khiến những con số này trở nên đáng báo động do tác động tiềm ẩn của một vi phạm bảo mật”.

Thật vậy, các ứng dụng ngân hàng - bao gồm các ứng dụng từ ngân hàng, fintech và các loại hình công ty liên quan cho thấy mức rủi ro tiềm ẩn cao đối với việc mất thông tin cá nhân hoặc bị xâm nhập khác. Chỉ có hai danh mục ứng dụng trò chơi có mức rủi ro cao hơn ứng dụng ngân hàng và ngay sau đó là ứng dụng lập ngân sách và thanh toán.

Phân tích của Synosys đã xem xét ba lĩnh vực chính liên quan tới khả năng xảy ra lỗ hổng bảo mật của ứng dụng:

  • Các lỗ hổng bảo mật trong phần mềm “mã nguồn mở” được các nhà phát triển ứng dụng sử dụng rộng rãi. Phân tích cho thấy 98% trong số hàng nghìn ứng dụng được quét có chứa một số cấu phần phần mềm nguồn mở. Đây là phần mềm có thể được cấp phép công khai và được tích hợp vào các chương trình khác.
  • Các trường hợp rò rỉ thông tin có thể xảy ra do các nhà phát triển ứng dụng vô tình để lại dữ liệu nhạy cảm như mật khẩu hoặc khóa.
  • Quyền cấp cho thiết bị di động - khi ứng dụng yêu cầu người dùng cho phép ứng dụng đó khai thác các chức năng khác nhau của thiết bị di động như máy ảnh hoặc dịch vụ định vị, có thể vượt quá những gì cần thiết hoặc có thể khiến dữ liệu cá nhân bị xâm phạm.

Đối với người tiêu dùng, báo cáo này nhấn mạnh một thực tế đáng kinh ngạc rằng ngay cả các ứng dụng di động phổ biến nhất cũng không tránh khỏi các điểm yếu về bảo mật và quyền riêng tư và không nên được tin tưởng hoàn toàn. Đối với các nhà phát triển ứng dụng, điều này nhấn mạnh nhu cầu cấp thiết đối với các phương pháp phát triển phần mềm an toàn cũng như bảo vệ quyền riêng tư và bảo mật tổng thể tốt hơn.

Điều này trái ngược với cách mà hầu hết mọi người tải xuống ứng dụng vì đủ loại lý do mà ít nghĩ đến những hậu quả có thể xảy ra. Theo Tim Mackey, Nhà chiến lược bảo mật chính của công ty Synopsys đã đánh giá các ứng dụng Android vì chúng có thể được tải xuống theo cách cho phép phân tích từng phần và từ đầu tới cuối. Ông giải thích, các ứng dụng tải xuống từ Apple Store đều được mã hóa và không thể phân tích theo cách đó, mặc dù các lỗ hổng bảo mật có thể tương tự nhau.

Nguồn lỗ hổng trong ứng dụng ngân hàng

Việc các ứng dụng ngân hàng có lỗ hổng tiềm tàng gặp phải không có nghĩa là các vụ rò rỉ lớn đang xảy ra, nhưng chúng có thể xảy ra, đặc biệt nếu các nhà cung cấp dịch vụ tài chính và người tiêu dùng không tuân thủ các biện pháp cẩn trọng và sử dụng an toàn.

Trong báo cáo gian lận hàng quý vào tháng 3/2021, RSA Security đã báo cáo rằng, trên web, trình duyệt di động và ứng dụng dành cho thiết bị di động, các ứng dụng chiếm 44% số vụ gian lận trong quý 4/2020, do việc sử dụng ứng dụng ngày càng tăng trong đại dịch (các số liệu RSA bao gồm gian lận ứng dụng giả mạo, khi bọn tội phạm sử dụng các ứng dụng giả mạo để đánh lừa mọi người tải chúng. Sau đó, chúng có thể đánh cắp thẻ tín dụng và các dữ liệu nhạy cảm khác).

Để minh họa cho cá rủi ro phát sinh, trong một cuộc phỏng vấn, Mackey giải thích rằng thời kỳ mà mọi thứ trong một gói phần mềm được phát triển hoàn toàn bởi tổ chức phát hành sản phẩm cuối cùng đã qua từ lâu. “Ngày nay có nhiều tác động của chuỗi cung ứng hơn. Các cấu phần đến từ các thư viện mã được phát triển bởi người khác hoặc thậm chí một nhóm nào đó”. Thông thường, các thư viện này được xây dựng trên phần mềm mã nguồn mở, được cấp phép và thường có các lỗ hổng bảo mật chỉ được sửa khi chúng được phát hiện.

Mackey nói tiếp: “Khi nói đến những thứ liên quan đến bảo mật, bạn sẽ không tìm thấy nhà phát triển phần mềm trung bình nào thành thạo về những thứ như mật mã và mã hóa. Họ sẽ sử dụng thư viện của bên thứ ba do một nhóm hiểu rất rõ về bảo mật tạo ra và thỉnh thoảng phần mềm của họ mắc lỗi, vì vậy họ đưa ra các bản vá lỗi".

Rò rỉ trong quy trình vá lỗi

Một trong những lỗ hổng trong ứng dụng là quy trình vá lỗi: Đảm bảo rằng các bản vá sẽ được chuyển từ các nhà phát triển ban đầu đến các nhà phát triển trong các tổ chức tài chính, những người đưa nhiều cấu phần vào ứng dụng, rồi đến App Store hoặc Google Play và cuối cùng là đến tay người tiêu dùng. Trong kịch bản lý tưởng, các bản tải mới đã được vá và cập nhật. Khi đó người tiêu dùng thường cho phép các ứng dụng trên điện thoại hoặc máy tính bảng của họ được cập nhật khi họ nhận được thông báo có bản vá.

Mackey so sánh điều này với quy trình sản xuất ô tô, nơi nhiều thành phần được sản xuất bởi các nhà thầu phụ và lắp ráp tại nhà máy để xuất xưởng những chiếc ô tô. Trong cách so sánh này, các bản vá lỗi giống như việc thu hồi những chiếc ô tô bị lỗi.

Ứng dụng ngân hàng có nhiều chức năng có thể yêu cầu giao tiếp với các tổ chức khác và với nhiều chức năng trên thiết bị di động. Chụp ảnh séc, thanh toán qua Zelle hoặc Venmo hoặc PayPal và rất nhiều yêu cầu khác có thể xuất phát từ bên ngoài.

Ông cho rằng nếu các tổ chức tài chính không chú ý đến các thông báo về các vấn đề bảo mật, hiệu suất hoặc ổn định, thì đó là lúc rò rỉ dữ liệu có thể xảy ra. Nếu người dùng cuối của ứng dụng đã tắt cập nhật, họ sẽ tự chịu rủi ro. Mackey cho biết ông nhận được khá nhiều bản cập nhật mỗi tối từ tất cả các ứng dụng có trên điện thoại di động của mình.

Nếu bất kỳ liên kết nào trong chuỗi liên lạc bị hỏng, thì việc sửa chữa sẽ không được thực hiện. “Một lỗ hổng bảo mật không được khắc phục càng lâu thì càng có nhiều khả năng bị khai thác và việc khắc phục càng trở nên khó khăn hơn”, báo cáo nêu rõ.

Xem xét các quyền mà ứng dụng yêu cầu

Có những lỗ hổng khác, chẳng hạn như kết nối giữa ứng dụng và máy chủ của tổ chức tài chính có thể không hoàn toàn an toàn. Điểm mấu chốt mà báo cáo đã xem xét là các quyền được các ứng dụng hợp pháp yêu cầu để truy cập các chức năng hoặc dữ liệu trong thiết bị.

Các ứng dụng liên quan đến tài chính đòi hỏi các quyền đặc biệt cao so với các loại ứng dụng khác. Theo phân tích của Synopsys, ứng dụng ngân hàng có trung bình 25 quyền, ứng dụng thanh toán 25 quyền và ứng dụng ngân sách 26 quyền.

Số quyền trung bình các nhóm ứng dụng yêu cầu: Các nhóm ứng dụng lập ngân sách, thanh toán và ngân hàng đòi hỏi nhiều quyền nhất

Theo Synopsys, trách nhiệm thuộc về cả hai phía. Các nhà phát triển cần phải hiểu rõ những quyền nào đang được yêu cầu bởi các thành phần mà họ sử dụng để xây dựng ứng dụng của họ. Bên cạnh đó, người tiêu dùng cần phải biết rõ họ cấp quyền gì khi ứng dụng yêu cầu họ và nghiêm túc xem xét liệu họ có nên đồng ý hay không.

Mackey nói: “Một số quyền được coi là nhạy cảm hơn. Quyền truy cập vào điện thoại hoặc tin nhắn văn bản, máy ảnh và thông tin vị trí của bạn là những bộ quyền khá nhạy cảm mà bạn không muốn cấp cho bất kỳ ứng dụng nào (một cách dễ dàng)”.

“Quyền phải phù hợp với những gì mọi người mong đợi về ứng dụng đó. Một số quyền ngân hàng sẽ liên quan đến các yêu cầu nhạy cảm hơn, những thứ sẽ không có ý nghĩa gì nếu bạn chỉ sử dụng ứng dụng Yelp (một ứng dụng đặt thức ăn)”.

Mackey nói rằng người tiêu dùng nên phản đối khi có quá nhiều quyền được yêu cầu. Họ nên liên hệ với với tổ chức (tài chính) của họ và nói: "Tôi đã cố tải xuống ứng dụng của bạn và nó đã yêu cầu rất nhiều thứ. Điều đó không có ý nghĩa gì đối với tôi. Những thứ đó cần để làm gì?" và có thể bản tải xuống mà người dùng cuối tải xuống thực sự không phải là ứng dụng chính thức, mà là một ứng dụng giả mạo trông giống như ứng dụng chính thức.

Theo An toàn Thông tin

Bình luận

Tối thiểu 10 chữ Tiếng việt có dấu Không chứa liên kết

Gửi bình luận

Tin cùng chuyên mục

Lancs Networks tích hợp FPGA, ARM và PUF bảo vệ hạ tầng số quốc gia

Lancs Networks tích hợp FPGA, ARM và PUF bảo vệ hạ tầng số quốc gia

Tấn công mạng quy mô lớn nhắm vào các tập đoàn công nghiệp châu Á - Thái Bình Dương

Tấn công mạng quy mô lớn nhắm vào các tập đoàn công nghiệp châu Á - Thái Bình Dương

Nền tảng phát triển phần mềm hiện đại đối mặt với nguy cơ tấn công mạng ngày càng gia tăng

Nền tảng phát triển phần mềm hiện đại đối mặt với nguy cơ tấn công mạng ngày càng gia tăng

Keysight AppFusion giải pháp hiển thị và bảo mật mạng toàn diện

Keysight AppFusion giải pháp hiển thị và bảo mật mạng toàn diện

Nhận diện các hình thức lừa đảo ngân hàng và biện pháp phòng tránh

Nhận diện các hình thức lừa đảo ngân hàng và biện pháp phòng tránh

Fortinet dự báo về mối đe dọa an ninh mạng năm 2025

Fortinet dự báo về mối đe dọa an ninh mạng năm 2025

Nâng cao nhận thức cộng đồng về lừa đảo trực tuyến

Nâng cao nhận thức cộng đồng về lừa đảo trực tuyến

Meta tăng cường phòng chống lừa đảo trong mùa lễ hội

Meta tăng cường phòng chống lừa đảo trong mùa lễ hội

Lừa đảo tài chính tiếp tục đe dọa các công ty khu vực Đông Nam Á

Lừa đảo tài chính tiếp tục đe dọa các công ty khu vực Đông Nam Á

An ninh mạng tại Việt Nam đang bị đe dọa nghiêm trọng

An ninh mạng tại Việt Nam đang bị đe dọa nghiêm trọng

Kaspersky trang bị kiến thức an ninh mạng cơ bản cho giáo viên Việt Nam

Kaspersky trang bị kiến thức an ninh mạng cơ bản cho giáo viên Việt Nam

Fortinet giới thiệu giải pháp quản lý rủi ro mới

Fortinet giới thiệu giải pháp quản lý rủi ro mới

Tin mới cập nhật

Thị trường Laptop Việt Nam và tương lai công nghệ AI: Góc nhìn từ lãnh đạo ASUS

Thị trường Laptop Việt Nam và tương lai công nghệ AI: Góc nhìn từ lãnh đạo ASUS

Grab triển khai tính năng ‘Đặt trước chuyến xe’ tại Việt Nam

Grab triển khai tính năng ‘Đặt trước chuyến xe’ tại Việt Nam

Du Lịch Việt giảm giá hơn 300 tour tại Ngày hội du lịch TP. Hồ Chí Minh 2025

Du Lịch Việt giảm giá hơn 300 tour tại Ngày hội du lịch TP. Hồ Chí Minh 2025

Samsung mang tầm nhìn “AI Home” đến 'Welcome to Bespoke AI'

Samsung mang tầm nhìn “AI Home” đến 'Welcome to Bespoke AI'

HEINEKEN Việt Nam và Công an Đà Nẵng ký kết thúc đẩy văn hóa uống có trách nhiệm

HEINEKEN Việt Nam và Công an Đà Nẵng ký kết thúc đẩy văn hóa uống có trách nhiệm

Phường Hoàng Liệt tổ chức lễ kỷ niệm 70 năm giữa bối cảnh đô thị hóa nhanh chóng

Phường Hoàng Liệt tổ chức lễ kỷ niệm 70 năm giữa bối cảnh đô thị hóa nhanh chóng

Trường THPT chuyên Hà Nội-Amsterdam đón nhận Huân chương Lao động hạng Nhất

Trường THPT chuyên Hà Nội-Amsterdam đón nhận Huân chương Lao động hạng Nhất

Cùng Cuhiep và Chương ProK khám phá Saramonic Ultra

Cùng Cuhiep và Chương ProK khám phá Saramonic Ultra

Tác giả bộ sách tranh Ehon nổi tiếng Nhật Bản giao lưu với khán giả Việt Nam

Tác giả bộ sách tranh Ehon nổi tiếng Nhật Bản giao lưu với khán giả Việt Nam

Cuộc thi sáng tác tranh KTS công nghệ NFT chính thức khởi động

Cuộc thi sáng tác tranh KTS công nghệ NFT chính thức khởi động

Sennheiser ghi dấu sự trở lại bằng sự kiện Sennheiser Listening Workshop

Sennheiser ghi dấu sự trở lại bằng sự kiện Sennheiser Listening Workshop

Sunhome, thương hiệu tiên phong trong lĩnh vực năng lượng ra mắt thị trường Việt

Sunhome, thương hiệu tiên phong trong lĩnh vực năng lượng ra mắt thị trường Việt

Tin đọc nhiều

Lancs Networks tích hợp FPGA, ARM và PUF bảo vệ hạ tầng số quốc gia

Lancs Networks tích hợp FPGA, ARM và PUF bảo vệ hạ tầng số quốc gia

Nâng cao nhận thức cộng đồng về lừa đảo trực tuyến

Nâng cao nhận thức cộng đồng về lừa đảo trực tuyến

Visa ra mắt loạt giải pháp bảo mật mới

Visa ra mắt loạt giải pháp bảo mật mới

Security World 2021 nhận diện thách thức ATTT với những bước tăng trưởng "nóng" của chuyển đổi số

Security World 2021 nhận diện thách thức ATTT với những bước tăng trưởng "nóng" của chuyển đổi số

Cài đặt app giả mạo Bộ Công an bị mất 6,1 tỉ đồng

Cài đặt app giả mạo Bộ Công an bị mất 6,1 tỉ đồng

Tin tặc tấn công dữ liệu vắc xin COVID-19 của Pfizer/BioNTech để làm gì?

Tin tặc tấn công dữ liệu vắc xin COVID-19 của Pfizer/BioNTech để làm gì?

Google vá lỗ hổng zero-day trên Chrome lần thứ hai trong hai tuần

Google vá lỗ hổng zero-day trên Chrome lần thứ hai trong hai tuần

Lỗ hổng vượt qua xác thực mã PIN mới ảnh hưởng tới thanh toán Visa

Lỗ hổng vượt qua xác thực mã PIN mới ảnh hưởng tới thanh toán Visa

An toàn trong chuyển đổi số quốc gia

An toàn trong chuyển đổi số quốc gia

Quy trình quản lý vật chứa bí mật nhà nước

Quy trình quản lý vật chứa bí mật nhà nước

Video xem nhiều

Đại học Miami tạo ra cảm biến chất lượng không khí phát hiện Covid-19

Đại học Miami tạo ra cảm biến chất lượng không khí phát hiện Covid-19

Ford F-150 Lightning 2022 ra mắt: Bán tải chạy điện giá khởi điểm chưa đến 40 nghìn USD

Ford F-150 Lightning 2022 ra mắt: Bán tải chạy điện giá khởi điểm chưa đến 40 nghìn USD

Thông điệp lan tỏa mùa dịch COVID-19

Thông điệp lan tỏa mùa dịch COVID-19

Clip: Khuyến cáo đối với người lao động, người làm việc, người bán hàng tại khu dịch vụ trong dịch Covid-19

Clip: Khuyến cáo đối với người lao động, người làm việc, người bán hàng tại khu dịch vụ trong dịch Covid-19

Cỗ xe lai phản lực tăng tốc từ 0 - 1010 km/h trong 50 giây tham vọng phá kỷ lục thế giới

Cỗ xe lai phản lực tăng tốc từ 0 - 1010 km/h trong 50 giây tham vọng phá kỷ lục thế giới

“Rắn tiên tri” dự đoán đội tuyển Việt Nam thắng Thái Lan

“Rắn tiên tri” dự đoán đội tuyển Việt Nam thắng Thái Lan

Pretzel - Bánh quy cây: Biểu tượng văn hoá châu Âu với nhiều tranh cãi về nguồn gốc

Pretzel - Bánh quy cây: Biểu tượng văn hoá châu Âu với nhiều tranh cãi về nguồn gốc

Làm thế nào để nâng cao tương tác giữa loa và phòng nghe hiệu quả

Làm thế nào để nâng cao tương tác giữa loa và phòng nghe hiệu quả

Trực tiếp: Apple ra mắt Iphone 11 tại Cupertino, California, Mỹ

Trực tiếp: Apple ra mắt Iphone 11 tại Cupertino, California, Mỹ

Chiếc điều hòa cá nhân này của Sony là tất cả những gì bạn cần để sống sót qua mùa hè nóng nực

Chiếc điều hòa cá nhân này của Sony là tất cả những gì bạn cần để sống sót qua mùa hè nóng nực

Những gì bạn muốn biết về 5G

Những gì bạn muốn biết về 5G

5G thay đổi tương lai của bạn như thế nào?

5G thay đổi tương lai của bạn như thế nào?

Bàn về tầm nhìn và các trụ cột của công nghệ thông tin di động 6G
04/03/2022
Chip xử lý A15 Bionic của Apple có gì mới
15/09/2021
Sex Education mùa 3 được Netflix công chiếu vào 17/9
14/09/2021
iPhone 13 không thay đổi nhiều về ngoại hình, camera được nâng cấp mạnh
13/09/2021
Cách xem trực tiếp sự kiện ra mắt iPhone 13 và Apple Watch 7
10/09/2021
VNEID của Bộ Công an khác các ứng dụng đang được vận hành?
10/09/2021
'Cái tôi' thời 4.0 và tính hai mặt của mạng xã hội
04/09/2021
'Muôn màu' cảm xúc của trẻ trong ngày khai giảng online
24/08/2021
Chủ tịch Chu Ngọc Anh giải toả 'ách tắc' về Giấy đi đường cho người dân Thủ đô
10/08/2021
Hàng loạt Macbook M1 tự dưng vỡ màn hình, Apple có đồng ý bảo hành?
02/08/2021
6 bộ phim hay nhất để xem trên VieON
29/01/2021
Bắc Ninh: Không ký kết triển khai dự án Owifi 5G với CSE Singapore
27/06/2020
Bị World Bank cấm dự thầu 7 năm, công ty Sao Bắc Đẩu thừa nhận sai sót
27/06/2020
Wefinex - Mô hình hoạt động đa cấp "đội lốt" đầu tài chính trên mạng internet
10/06/2020
Khai trừ MISA khỏi Câu lạc bộ Chữ ký số và Giao dịch điện tử Việt Nam
27/05/2020
Chuyển đổi số - Nên hiểu như thế nào cho đúng
25/05/2020
Chống thất thu thuế là thách thức lớn đối với nền kinh tế số
29/04/2020
Cách chuyển tập tin sang máy tính mới
10/11/2019
VNPT, MobiFone, VTC sẽ hoàn thành cổ phần hóa trước năm 2021
20/08/2019
5G thay đổi tương lai của bạn như thế nào?
26/07/2019
Nhận diện hành vi lừa đảo trên không gian mạng
25/07/2019
Truyền hình OTT - Hướng đi mới của các “nhà Đài”
24/07/2019