Cuộc thăm dò bảo mật tiến hành trên một số ứng dụng phổ biến của các công ty Internet hàng đầu như Foursquare, Netflix, và LinkedIn lộ ra rằng: Phần mềm thường lưu trữ thông tin người dùng nhạy cảm ở dạng văn bản thông thường (plain text). Các ứng dụng Android của LinkedIn, Netflix và Foursquare lưu trữ tên người dùng và mật khẩu ở dạng không mã hóa trên thiết bị của họ. Điều này vi phạm quy trình chất lượng phổ biến về bảo mật máy tính. Nhiều người có xu hướng sử dụng tên người dùng và mật khẩu giống nhau cho nhiều trang web, thiếu xót này giúp hacker có thể xâm phạm các tài khoản khác.
ViaForensics cũng phát hiện phiên bản thanh toán di động của Square để lộ lịch sử số tiền giao dịch và chữ ký số (digital signature) của một khách hàng kí trong biên lai điện tử trên ứng dụng.
Hacker cần có kĩ năng và gặp may để lợi dụng những lỗ hổng này – hoặc truy cập vật lý vào điện thoại người dùng hoặc thông qua phần mềm gây hại cài trên thiết bị - Những hành vi này có thể gây ra vấn đề bảo mật trầm trọng hơn những vấn đề do dò rỉ mật khẩu.
Ông Andrew Hoog, điều tra viên của viaForensics cho rằng “Dữ liệu không nên được lưu trữ trên điện thoại.” Và những dữ liệu lưu lại trên thiết bị di động cần được mã hóa. Mặc dù các công ty ngày càng ý thức về nguy cơ bảo mật trên các thiết bị di động, Ông Hoog cho rằng các lỗ hổng vẫn liên tiếp xuất hiện chứng tỏ vấn đề bảo mật còn lâu mới được giải quyết vì các nhà phát triển còn mải chạy đua tung ra ứng dụng mới trên thị trường cạnh tranh đầy khốc liệt.
Ông Hoog nói “Bảo mật không phải ưu tiên đối với các nhà phát triển ứng dụng.”
Phát ngôn viên Katie Baynes của Square công nhận công ty có lưu trữ một số thông tin nhận dạng trên điện thoại bao gồm tên người dùng và bốn chữ số cuối cùng trong số thẻ tín dụng của khách hàng. Những thông tin này cần thiết để các doanh nghiệp theo dõi giao dịch.
Square cũng lập luận rằng việc lưu trữ các chữ số này rõ ràng được cho phép theo tiêu chuẩn của Hội đồng Tiêu chuẩn Bảo mật – PCI Security Standards Council, diễn đàn cung cấp hệ thống yêu cầu kĩ thuật về bảo mật dữ liệu do các nhà cung cấp dịch thanh toán lớn như America Express và Visa lập ra. Tuy nhiên, Square từ chối bình luận về vấn đề chữ ký số.
Foursquare cho biết họ nắm được lỗ hổng và đã công bố bản cập nhật cho người dùng Android vào ngày 07/06 để bảo vệ tên đăng nhập và mật khẩu. Lịch sử truy vấn tìm kiếm sẽ bị xóa khi người dùng gỡ bỏ ứng dụng hoặc xóa dữ liệu khỏi trang thiết đặt ứng dụng (application settings page) thông qua thiết đặt của điện thoại.
Phát ngôn viên của Netflix cho hay Netflix đang thay đổi ứng dụng để bảo vệ tên người dùng và mật khẩu. Netflix không công bố thời gian tiến hành thay đổi này nhưng hãng này khẳng định đây là là vấn đề được ưu tiên.
Phát ngôn viên Julie Inouye của LinkedIn thì tiết lộ họ đang làm việc cùng với đội nghiên cứu Android của Google. ”Chúng tôi đang sử dụng các quy trình lập trình Android tiêu chuẩn để lưu trữ và quản lý dữ liệu”
Phát ngôn viên của Google cho biết hãng khuyến khích các nhà phát triển tuân theo chỉ dẫn về bảo mật khi phát triển các ứng dụng Android. Blog của Google có bài viết thông báo các nhà phát triển phải chịu trách nhiệm cuối cùng về cách xử lý thông tin khách hàng và đề nghị các nhà phát triển không lưu trữ thông tin người dùng quá cụ thể. Phát ngôn viên của Google cũng cho biết Google khuyến khích các nhà phát triển tuân theo phương pháp bảo mật tốt nhất đó là không lưu trữ mật khẩu dạng văn bản thông thường trên thiết bị.
Theo Wall Street Journal
.svg){kind=icon}
