Chuyên Mục

Cẩn thận khi theo dõi chứng khoán trên ứng dụng di động

TTO - Hầu hết các ứng dụng theo dõi chứng khoán trên di động đều rất dễ bị hack dù có được quảng cáo là bảo mật tuyệt đối.


Cẩn thận khi theo dõi chứng khoán trên ứng dụng di động - Ảnh 1.

Nguồn: Bigstock.

Theo nghiên cứu của tổ chức tư vấn bảo mật toàn cầu IOActive, có hơn 20 ứng dụng di động theo dõi chứng khoán phổ biến còn nhiều sai sót khiến người dùng có nguy cơ mất tiền hoặc mất dữ liệu cá nhân.

Alejandro Hernandez, chuyên gia tư vấn an ninh cao cấp cho IOActive, cho biết hiện vẫn chưa thể nêu tên các ứng dụng cụ thể được kiểm tra, chỉ biết rằng các ứng dụng này xử lý hàng tỉ đô la giao dịch mỗi năm và được hàng triệu người trên thế giới sử dụng.

Vấn đề thường gặp trên các ứng dụng

IOActive đã kiểm tra và phát hiện ra 19% trong số 21 ứng dụng đã để lộ mật khẩu người dùng. Nếu không bật mã hóa, tài khoản sẽ rất dễ bị hack. Không chỉ vậy, 62% trong số 21 ứng dụng còn yêu cầu trực tiếp gửi dữ liệu tài chính quan trọng khi đăng nhập vào hệ thống.

Kỷ nguyên mới cho tống tiền ATM: Sử dụng phần mềm độc hại để ăn cắp từ xa Kỷ nguyên mới cho tống tiền ATM: Sử dụng phần mềm độc hại để ăn cắp từ xa

TTO - Các chuyên gia cảnh báo giờ đây việc truy cập vật lý vào máy ATM không còn cần thiết để chiếm quyền kiểm soát tiền mặt nữa.

Hai trong số các ứng dụng đã sử dụng chứng chỉ HTTP không mã hóa để truyền và nhận dữ liệu. Ngoài ra, còn có 13 ứng dụng sử dụng chứng chỉ HTTPS nhưng lại không kiểm tra tính xác thực của máy chủ từ xa. Việc thiếu kiểm tra này có thể cho phép các tình huống truy cập từ xa và đánh cắp dữ liệu xảy ra.

Nguy cơ tấn công XSS rất có khả năng xảy ra

JavaScript hoặc HTML cũng có thể bị truy cập nếu thiếu chứng chỉ bảo mật xác minh. Hernandez còn phát hiện ra rằng có đến 10 ứng dụng không thiết lập thực thi mã JavaScript trong các lần truy cập website, điều này dễ dàng dẫn đến các cuộc tấn công XSS. Đây là kiểu tấn công cho phép hacker chèn những đoạn script độc hại (thông thường là Javascript hoặc HTML) vào website và sẽ được thực thi trong trình duyệt của người dùng.

"Thiệt hại về tài chính mà các ứng dụng này có thể gây ra thật sự không nhỏ. Người dùng cá nhân lẫn các nhà quản lý phải cần thận hơn rất nhiều khi theo dõi chứng khoán trên ứng dụng di động."

_____ IOActive khuyến cáo _____ 

 

quan tâm MINH THÁI
Top