(+84) 463.28.7979

Quảng cáo trong ứng dụng Android có thể ảnh hưởng xấu đến bảo mật


Một nghiên cứu mới của các nhà khoa học máy tính tại Đại Học bang Bắc Carolina đã tiết lộ rằng hơn một nửa trong số 100.000 ứng dụng trên Google Play (trước đây là Android Market) trong khoảng tháng 3-5/2011 có đính kèm các thư viện lập trình để phục vụ cho việc lấy quảng cáo từ máy chủ và hiển thị nó lên điện thoại của người dùng. 297 ứng dụng trong số này được liệt vào danh sách “aggressive” vì chúng cho phép chạy các đoạn mã từ một server phụ, làm gia tăng nguy cơ về an ninh, bảo mật. Các cuộc thử nghiệm được tiến hành trên điện thoại, chưa rõ máy tính bảng Android có bị ảnh hưởng tương tự hay không.

Android

Theo tiến sĩ Xuxian Jiang, việc chạy các đoạn mã tải về từ Internet là rất nguy hiểm bởi đoạn mã đó có thể là bất cứ thứ gì. Ví dụ, nó có thể kích hoạt một cuộc tấn công từ quyền root của máy Android, từ đó chiếm lấy quyền điều khiển điện thoại. Đây chính là một phần cách hoạt động của RootSmart, một phần mềm mã độc trên Android mới được phát hiện gần đây. Trước khi cài đặt các phần mềm từ Google Play, người dùng sẽ phải qua một bước cho phép ứng dụng truy cập một số quyền (permission) nhất định. Tuy nhiên, chúng ta không biết rằng mình cũng đang cấp cho các thư viện quảng cáo những quyền tương tự. Những quyền này có thể không cần thiết cho nhiệm vụ lấy và hiển thị quảng cáo, và đây chính là vấn đề.

Jiang và đội của mình nói rằng có 48.139 ứng dụng mà họ đã thử nghiệm có thể ghi lại vị trí của người dùng thông qua GPS. Trong số này, có 4190 ứng dụng tích hợp các thư viện cho phép những nhà quảng cáo lấy vị trí địa lí của khách hàng. Một số khác thì có thể truy cập vào nhiều thông tin cá nhân như lịch sử cuộc gọi, danh bạ, danh sách ứng dụng,…

Lổ hỗng về thư viện quảng cáo này có thể làm cho các bên thứ ba, kể cả hacker, vượt qua các rào cản bảo mật hiện tại của Android. Nguy hiểm hơn, bản thân ứng dụng thì rất an toàn nên không có cảnh báo nào được đưa ra, nhưng các thư viện quảng cáo thì không. Jiang nói để giảm thiểu tác động của những rủi ro kể trên, cần phải tách biệt các thư viện này ra khỏi ứng dụng, đảm bảo chúng không có cùng quyền truy cập như ứng dụng sử dụng chúng. Mô hình tích hợp thư viện vào ứng dụng sẽ giúp lập trình viên thuận tiện hơn trong việc viết phần mềm, nhưng phải đặt sự an toàn lên hàng đầu. “Giải pháp tốt nhất đó là Google, Apple và các công ty nền tảng di động khác cần phải nghiên cứu một kĩ thuật mới trong việc tách bạch thư viện quảng cáo với ứng dụng”.

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>