WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Lỗ hổng bảo mật tiết lộ hàng triệu tin nhắn, cuộc gọi
Theo tạp chí công nghệ PCMag, các nhà nghiên cứu tại hãng bảo mật Appthority đã phát hiện ra lỗ hổng bảo mật làm tiết lộ hàng triệu tin nhắn, cuộc gọi và nội dung ghi âm tiếng nói này, họ gọi đó là lỗ hổng Eavesdropper (Người nghe lén).
Theo các chuyên gia của Appthority, nguyên nhân gây ra lỗ hổng bảo mật này là vì các lập trình viên đã sử dụng thủ thuật hard code khi xử lý những thông tin xác thực trong các ứng dụng di động áp dụng chuẩn Rest API của Twilio hay SDK trong các dịch vụ liên lạc qua mạng.
Theo Appthority, các lập trình viên đã không tuân thủ những chỉ dẫn để đảm bảo an toàn dữ liệu trong việc sử dụng thông tin xác thực và token.
"Hard code" là một kỹ thuật viết phần mềm trong đó người lập trình sẽ nhúng dữ liệu trực tiếp vào mã nguồn của chương trình theo cách những dữ liệu đó sẽ không thể thay đổi trừ khi phải chỉnh sửa chương trình này.
"Với việc tiến hành thủ thuật hard code cho các thông tin xác thực, các lập trình viên đã khiến mọi dữ liệu được lưu trong các tài khoản Twilio bị tiếp cận ở quy mô toàn cầu, trong đó có các tin nhắn text/SMS, dữ liệu cuộc gọi và các nội dung ghi âm tiếng nói", chuyên gia bảo mật Michael Bentley của Appthority nhận định.
"Quy mô của việc để lộ dữ liệu là rất lớn, bao gồm hàng trăm triệu thông tin lưu về cuộc gọi, nhiều phút cuộc gọi và ghi âm tiếng nói, các tin nhắn văn bản", chuyên gia này cho biết thêm.
Khoảng 33% số ứng dụng bị dính lỗ hổng bảo mật Eavesdropper có liên quan tới kinh doanh. Trong đó có một ứng dụng dành cho liên lạc bí mật của một cơ quan hành pháp liên bang, một ứng dụng giúp các nhóm nhân viên kinh doanh của doanh nghiệp có thể ghi âm cuộc gọi và thảo luận theo thời gian thực…
Cho tới nay các ứng dụng bị mắc lỗi này đã được tải về khoảng 180 triệu lượt. Hơn 170 trong số các ứng dụng bị ảnh hưởng hiện vẫn đang được cung cấp trên các gian hàng ứng dụng chính thống hiện nay.
Theo các chuyên gia của Appthority, nguyên nhân gây ra lỗ hổng bảo mật này là vì các lập trình viên đã sử dụng thủ thuật hard code khi xử lý những thông tin xác thực trong các ứng dụng di động áp dụng chuẩn Rest API của Twilio hay SDK trong các dịch vụ liên lạc qua mạng.
Theo Appthority, các lập trình viên đã không tuân thủ những chỉ dẫn để đảm bảo an toàn dữ liệu trong việc sử dụng thông tin xác thực và token.
"Hard code" là một kỹ thuật viết phần mềm trong đó người lập trình sẽ nhúng dữ liệu trực tiếp vào mã nguồn của chương trình theo cách những dữ liệu đó sẽ không thể thay đổi trừ khi phải chỉnh sửa chương trình này.
"Với việc tiến hành thủ thuật hard code cho các thông tin xác thực, các lập trình viên đã khiến mọi dữ liệu được lưu trong các tài khoản Twilio bị tiếp cận ở quy mô toàn cầu, trong đó có các tin nhắn text/SMS, dữ liệu cuộc gọi và các nội dung ghi âm tiếng nói", chuyên gia bảo mật Michael Bentley của Appthority nhận định.
"Quy mô của việc để lộ dữ liệu là rất lớn, bao gồm hàng trăm triệu thông tin lưu về cuộc gọi, nhiều phút cuộc gọi và ghi âm tiếng nói, các tin nhắn văn bản", chuyên gia này cho biết thêm.
Khoảng 33% số ứng dụng bị dính lỗ hổng bảo mật Eavesdropper có liên quan tới kinh doanh. Trong đó có một ứng dụng dành cho liên lạc bí mật của một cơ quan hành pháp liên bang, một ứng dụng giúp các nhóm nhân viên kinh doanh của doanh nghiệp có thể ghi âm cuộc gọi và thảo luận theo thời gian thực…
Cho tới nay các ứng dụng bị mắc lỗi này đã được tải về khoảng 180 triệu lượt. Hơn 170 trong số các ứng dụng bị ảnh hưởng hiện vẫn đang được cung cấp trên các gian hàng ứng dụng chính thống hiện nay.
Theo Tuổi trẻ