Mổ xẻ cụ thể cơ chế bảo mật của iPhone và các smartphone Android hiện nay, có thể nhận thấy chúng chưa đủ mạnh để bảo vệ những dữ liệu nhạy cảm bên trong và khả năng người dùng bị "lộ trần" trước hacker là hoàn toàn có thể xảy ra.
Theo nghiên cứu "Khám phá về bảo mật thiết bị di động iOS của Apple và Android của Google" vừa được Symantec công bố sáng nay, dù trong quá trình thiết kế, các nền tảng phổ biến đều có quan tâm đến khâu bảo mật, nhưng mức độ tinh vi, kiên cố thì vẫn chỉ có giới hạn. Điều đáng lo ngại hơn là ý thức bảo mật của người dùng smartphone và các thiết bị di động lại lơ là, thua kém rõ rệt so với người dùng PC truyền thống. Hậu quả là một nguy cơ kép đang treo lơ lửng trên đầu người dùng iPhone, iPad và các dòng smartphone Android.
Bình luận về hiện trạng bảo mật di động hiện nay, ông Raymond Goh, Giám đốc Symantec Nam Á so sánh: "Chuyện bảo mật của các thiết bị di động đang giống như một ma trận hỗn độn. Dù có khả năng bảo mật tốt hơn so với PC nhưng iOS hay Android vẫn tiềm ẩn nguy cơ rất cao trước những hình thức tấn công truyền thống. Hơn nữa, đội ngũ nhân viên sử dụng smartphone trong các doanh nghiệp ngày càng đông, nhưng lại không được quản lý chặt về khả năng truy cập vào cơ sở dữ liệu nhạy cảm. Việc những người dùng này tải ứng dụng/dịch vụ nào từ bên thứ ba thì doanh nghiệp, tổ chức cũng không quản lý được".
Vấn đề trở nên phức tạp hơn khi các thiết bị di động ngày càng được kết nối và đồng bộ hóa với toàn bộ hệ sinh thái, bao gồm đám mây và các dịch vụ trên nền desktop của bên thứ 3, mà thường hệ sinh thái này nằm ngoài khả năng kiểm soát của doanh nghiệp. Vì thế, nguy cơ của những Anonymous trên địa hạt smartphone là hoàn toàn hiện hữu.
Symantec đã tiến hành phân tích cụ thể các mô hình bảo mật đang được sử dụng trong iOS và Android, đồng thời đánh giá về hiệu quả bảo mật của mỗi nền tảng trước những mối đe dọa như: các cuộc tấn công trực tuyến, malware, hình thái tấn công dựa vào kỹ thuật mạng xã hội, rò rỉ dữ liệu v...v... Theo đó, mô hình bảo mật của iOS cung cấp khả năng bảo vệ mạnh mẽ trước những phần mềm độc hại truyền thống, chủ yếu là do quy trình kiểm định ứng dụng và quy trình chứng thực tác giả ứng dụng cực kỳ nghiêm ngặt, ngặt nghèo của Apple. Những quy trình này giúp giám sát chặt chẽ thông tin định danh của từng tác giả phần mềm và hạn chế tối đa những kẻ có ý đồ xấu.
Trong khi đó, Google lại lựa chọn mô hình chứng thực mang tính mở: bất cứ ứng dụng nào cũng có thể góp mặt trên App Market và bất cứ tác giả ứng dụng nào cũng có thể giới thiệu sản phẩm của mình một cách ẩn danh, không qua kiểm tra. Sự lỏng lẻo này đã khiến cho số lượng phần mềm độc hại trên nền tảng Android gia tăng mạnh thời gian gần đây và đương nhiên là vượt trội so với iOS.
Cũng theo Symantec, người sử dụng cả hai nền tảng Android và iOS thường xuyên đồng bộ hóa thiết bị của họ với dịch vụ đám mây của bên thứ 3 (ví dụ như lịch trên nền web) và với desktop tại nhà của họ. Điều này có thể khiến cho những dữ liệu nhạy cảm của doanh nghiệp được lưu trữ trong các thiết bị này bị rò rỉ. Cuối cùng, các thiết bị bị “bẻ khóa”, hay các thiết bị mà tính năng bảo mật của chúng bị vô hiệu hóa là những mục tiêu hấp dẫn cho tội phạm mạng bởi các thiết bị này cũng tiềm ẩn những nguy cơ cao giống như PC thông thường.
Trọng Cầm
Google+ lệch nặng giới tính thành viên
Apple thống trị smartphone tại Mỹ chỉ với 2 mẫu máy
Clip hãi hùng bò tót rượt đuổi hàng nghìn người
Apple thống trị smartphone tại Mỹ chỉ với 2 mẫu máy
Clip hãi hùng bò tót rượt đuổi hàng nghìn người
Theo nghiên cứu "Khám phá về bảo mật thiết bị di động iOS của Apple và Android của Google" vừa được Symantec công bố sáng nay, dù trong quá trình thiết kế, các nền tảng phổ biến đều có quan tâm đến khâu bảo mật, nhưng mức độ tinh vi, kiên cố thì vẫn chỉ có giới hạn. Điều đáng lo ngại hơn là ý thức bảo mật của người dùng smartphone và các thiết bị di động lại lơ là, thua kém rõ rệt so với người dùng PC truyền thống. Hậu quả là một nguy cơ kép đang treo lơ lửng trên đầu người dùng iPhone, iPad và các dòng smartphone Android.
Bình luận về hiện trạng bảo mật di động hiện nay, ông Raymond Goh, Giám đốc Symantec Nam Á so sánh: "Chuyện bảo mật của các thiết bị di động đang giống như một ma trận hỗn độn. Dù có khả năng bảo mật tốt hơn so với PC nhưng iOS hay Android vẫn tiềm ẩn nguy cơ rất cao trước những hình thức tấn công truyền thống. Hơn nữa, đội ngũ nhân viên sử dụng smartphone trong các doanh nghiệp ngày càng đông, nhưng lại không được quản lý chặt về khả năng truy cập vào cơ sở dữ liệu nhạy cảm. Việc những người dùng này tải ứng dụng/dịch vụ nào từ bên thứ ba thì doanh nghiệp, tổ chức cũng không quản lý được".
Vấn đề trở nên phức tạp hơn khi các thiết bị di động ngày càng được kết nối và đồng bộ hóa với toàn bộ hệ sinh thái, bao gồm đám mây và các dịch vụ trên nền desktop của bên thứ 3, mà thường hệ sinh thái này nằm ngoài khả năng kiểm soát của doanh nghiệp. Vì thế, nguy cơ của những Anonymous trên địa hạt smartphone là hoàn toàn hiện hữu.
Symantec đã tiến hành phân tích cụ thể các mô hình bảo mật đang được sử dụng trong iOS và Android, đồng thời đánh giá về hiệu quả bảo mật của mỗi nền tảng trước những mối đe dọa như: các cuộc tấn công trực tuyến, malware, hình thái tấn công dựa vào kỹ thuật mạng xã hội, rò rỉ dữ liệu v...v... Theo đó, mô hình bảo mật của iOS cung cấp khả năng bảo vệ mạnh mẽ trước những phần mềm độc hại truyền thống, chủ yếu là do quy trình kiểm định ứng dụng và quy trình chứng thực tác giả ứng dụng cực kỳ nghiêm ngặt, ngặt nghèo của Apple. Những quy trình này giúp giám sát chặt chẽ thông tin định danh của từng tác giả phần mềm và hạn chế tối đa những kẻ có ý đồ xấu.
Trong khi đó, Google lại lựa chọn mô hình chứng thực mang tính mở: bất cứ ứng dụng nào cũng có thể góp mặt trên App Market và bất cứ tác giả ứng dụng nào cũng có thể giới thiệu sản phẩm của mình một cách ẩn danh, không qua kiểm tra. Sự lỏng lẻo này đã khiến cho số lượng phần mềm độc hại trên nền tảng Android gia tăng mạnh thời gian gần đây và đương nhiên là vượt trội so với iOS.
Cũng theo Symantec, người sử dụng cả hai nền tảng Android và iOS thường xuyên đồng bộ hóa thiết bị của họ với dịch vụ đám mây của bên thứ 3 (ví dụ như lịch trên nền web) và với desktop tại nhà của họ. Điều này có thể khiến cho những dữ liệu nhạy cảm của doanh nghiệp được lưu trữ trong các thiết bị này bị rò rỉ. Cuối cùng, các thiết bị bị “bẻ khóa”, hay các thiết bị mà tính năng bảo mật của chúng bị vô hiệu hóa là những mục tiêu hấp dẫn cho tội phạm mạng bởi các thiết bị này cũng tiềm ẩn những nguy cơ cao giống như PC thông thường.
Trọng Cầm