Cách phòng tránh ứng dụng giả mạo trên smartphone

Kiến Lập| 26/11/2021 08:23
Theo dõi ICTVietnam trên

Bất chấp các biện pháp bảo mật chặt chẽ của Google và Apple, tội phạm mạng vẫn tìm ra cách vượt qua những đợt kiểm tra ứng dụng để phát tán phần mềm độc hại lên thiết bị di động.

Cách phòng tránh ứng dụng giả mạo trên smartphone - Ảnh 1.

Ứng dụng giả mạo xuất hiện cả trên Google Play và App Store. Ảnh: Threatpost.

Hầu hết người dùng cài đặt ứng dụng thông qua các kênh chính thống như Google Play hoặc App Store đều tin tưởng thông tin của họ an toàn trước các cuộc tấn công. Tuy nhiên, bất chấp các biện pháp bảo mật chặt chẽ của Google và Apple, tội phạm mạng vẫn tìm mọi cách để qua mặt các đợt kiểm tra này. Chúng làm điều đó bằng cách mạo danh ứng dụng.

Chẳng hạn, Android cho phép người dùng cài đặt các ứng dụng từ các nguồn bên ngoài Google Play. Những kẻ tấn công mạng tạo ra app giả mạo, trông giống những ứng dụng quen thuộc. Sau đó, chúng dùng ứng dụng giả để thu thập dữ liệu hoặc thông tin đăng nhập, phục vụ mục đích xấu.

Cách đây chưa lâu, khi Ấn Độ ban hành lệnh cấm TikTok, tội phạm đã tạo ra ứng dụng giả mạo mang tên "TikTok Pro" để đánh cắp dữ liệu người dùng. Kẻ tấn công cũng lợi dụng sự sợ hãi đối với dịch bệnh Covid-19 để thu thập thông tin qua các app theo dõi.

Tội phạm mạng đang lợi dụng xu hướng làm việc từ xa khi ngày càng nhiều công ty cho phép nhân viên truy cập các ứng dụng doanh nghiệp thông qua thiết bị di động. Ngoài ra, các mạng Internet cá nhân cũng hạn chế trong việc trang bị biện pháp bảo mật, tạo điều kiện thuận lợi cho hacker tấn công, đánh cắp dữ liệu kinh doanh.

Hai kiểu mạo danh ứng dụng

Ngoài các ví dụ được đưa ra ở trên, việc mạo danh ứng dụng còn xảy ra theo nhiều cách khác. Mục đích của tội phạm mạng là truy cập dữ liệu người dùng, xâm nhập API nền tảng và đánh cắp thông tin doanh nghiệp. Dưới đây là 2 phương thức mạo danh ứng dụng chính được sử dụng phổ biến trong năm 2021.

1. Giả mạo ứng dụng

Tin tặc nhìn thấy cơ hội tấn công thông qua việc tạo ra các ứng dụng trông tương tự những ứng dụng hợp pháp. Chúng thu thập dữ liệu nhạy cảm như thông tin chi tiết về tài khoản ngân hàng, thẻ tín dụng và thông tin sinh trắc học thông qua các ứng dụng mạo danh.

Google Play đã triển khai các biện pháp bảo mật mạnh mẽ hơn, nhưng chúng đôi khi tỏ ra không hiệu quả. Ngay sau khi các ứng dụng di động giả mạo bị loại ra khỏi cửa hàng, chúng lại xuất hiện dưới một hình thức khác. Hơn nữa, việc tải ứng dụng từ nguồn bên ngoài không thể đo lường rủi ro.

Cách phòng tránh ứng dụng giả mạo trên smartphone - Ảnh 2.

"TikTok Pro" là ứng dụng giả mạo, xuất hiện sau khi Ấn Độ cấm TikTok. Ảnh: Furorenews.

Tội phạm mạng sử dụng thông tin chúng đánh cắp cho các mục đích xấu như chiếm đoạt tài khoản, chuyển hướng thanh toán, lấy điểm thưởng. Hoặc mục tiêu đơn giản là bán thông tin cá nhân trên các web đen.

2. Thao túng API

Thao túng API là một cơ chế nhằm trộm dữ liệu doanh nghiệp, cá nhân, hoặc đánh lừa hoạt động kinh doanh của công ty để thu lợi thương mại. Nó được thực hiện bằng cách khai thác lỗ hổng trong chính các API hoặc sử dụng thông tin đăng nhập hợp lệ đã bị đánh cắp từ các doanh nghiệp khác - thậm chí mua trên các web đen - để truy cập vào các hệ thống bên trong (back- end).

Cả 2 hướng tấn công đều dựa trên các tập lệnh và sử dụng khóa API đã được trích xuất từ các ứng dụng dành cho thiết bị di động.

Nghiên cứu của Gartner ước tính rằng API sẽ là phương diện bị tấn công hàng đầu vào năm 2022.

Cách phòng tránh ứng dụng mạo danh

Sau đây là 3 phương pháp chính, đã chứng minh khả năng phòng thủ hiệu quả chống lại việc mạo danh ứng dụng di động.

1. Triển khai cơ chế bảo vệ API

Nhiều người tin rằng việc tăng cường bảo mật các ứng dụng di động đồng thời sẽ bảo vệ các API mà họ sử dụng. Tuy nhiên, điều này không đúng. 

Trên thực tế, một ứng dụng dành cho thiết bị di động chính hãng có thể bị lợi dụng, trở thành công cụ xâm nhập dành cho những kẻ xấu. Chúng có thể sử dụng nó để tạo và triển khai các phiên bản giả mạo.

Hơn nữa, hacker có thể nghiên cứu các yêu cầu/phản hồi API và nhanh chóng xây dựng một tập lệnh, tạo ra các chuỗi API không thể phân biệt được với ứng dụng thật.

Do đó, điều quan trọng là phải xem xét cơ chế bảo mật API riêng biệt với bảo mật ứng dụng dành cho thiết bị di động. Một công cụ bảo vệ API hiệu quả phải có khả năng xác minh các yêu cầu đến API. Phân biệt được yêu cầu từ ứng dụng thật, đã được chứng thực với yêu cầu giả mạo.

2. Sử dụng hệ thống chứng thực ứng dụng

Những kẻ tấn công biết rằng nếu cài đặt được ứng dụng giả mạo trên thiết bị di động của người dùng, chúng có thể thao túng thiết bị cũng như trích xuất dữ liệu kinh doanh và cá nhân có giá trị.

Rất khó ngăn chặn tuyệt đối các ứng dụng giả mạo xâm nhập vào Google Play hoặc App Store, cũng như không thể cấm người dùng tải ứng dụng từ các nguồn khác. Điều có thể làm là đảm bảo không ứng dụng xấu nào có thể kết nối với hệ thống back-end của bạn.

Chứng thực ứng dụng di động là một phương pháp bảo mật có tính an toàn cao. Qua đó, một ứng dụng có thể được chứng minh là phiên bản chính thức của ứng dụng gốc đã xác nhận và tải lên các cửa hàng ứng dụng.

Nếu thông tin xác thực này được chuyển đến back-end cùng với mỗi lệnh gọi API, thì có thể chặn tất cả ứng dụng giả mạo, bất kể chúng đến từ các cửa hàng ứng dụng hay bên thứ 3.

3. Thường xuyên kiểm thử xâm nhập (Pentesting)

Kiểm tra thâm nhập thường xuyên sẽ phát hiện lỗ hổng bằng cách mô phỏng cuộc tấn công tiềm ẩn vào ứng dụng của bạn, xác định các sơ hở trước khi tin tặc khai thác chúng. Thực tiễn tốt nhất là làm việc với một bộ kiểm soát bên ngoài, bởi vì họ ít quen thuộc hơn với hệ thống và có thể xác định các lỗi một cách độc lập, hiệu quả hơn.

Có 2 phương pháp kiểm tra điểm hình. Đầu tiên là kiểm tra từ bên trong. Thử nghiệm diễn ra phía sau tường lửa của ứng dụng để mô phỏng một cuộc tấn công bên trong, chẳng hạn như ai đó sử dụng thông tin đăng nhập bị đánh cắp.

Cách thứ 2 là mô phỏng một cuộc tấn công từ bên ngoài vào hệ thống doanh nghiệp, gồm trang web, ứng dụng di động… nhằm xác định lỗ hổng tiềm ẩn, có thể bị tin tặc khai thác để xâm nhập công ty và các khách hàng.

Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
  • Bốn giải pháp trọng tâm để giải bài toán an toàn dữ liệu quốc gia
    Theo Thứ trưởng Bộ TT&TT Bùi Hoàng Phương, năm 2024 đánh dấu bước tiến vượt bậc của Việt Nam trong lĩnh vực an toàn thông tin. Tuy nhiên, còn rất nhiều thách thức cần vượt qua để đảm bảo an toàn dữ liệu quốc gia.
  • Việt Nam tăng cường hợp tác phát triển công nghệ số với Burundi và NIPA
    Trong khuôn khổ sự kiện Tuần lễ Số quốc tế 2024, Bộ trưởng Bộ Thông tin và Truyền thông Nguyễn Mạnh Hùng đã tiếp và làm việc với Bộ trưởng Bộ Truyền thông, Công nghệ Thông tin và Đa phương tiện Burundi Léocadie Ndacayisaba và ông Hur Sung Wook, Chủ tịch Cục Xúc tiến Công nghiệp CNTT quốc gia Hàn Quốc (NIPA).
  • Chính thức ra mắt Nền tảng hỗ trợ diễn tập thực chiến an toàn thông tin
    Nền tảng hướng tới nâng cao chất lượng và điều phối hiệu quả các hoạt động diễn tập trên toàn quốc thông qua nền tảng hỗ trợ diễn tập thực chiến an toàn thông tin.
  • Việt Nam - Hàn Quốc đồng hành trong kỷ nguyên AI
    Thứ trưởng Bộ TT&TT Phan Tâm hy vọng, Việt Nam có thể học tập nhiều hơn từ Hàn Quốc về các bài học kinh nghiệm, cách làm hay để phát huy tối đa vai trò công nghệ số nói chung và trợ lý ảo nói riêng trong hoạt động của cơ quan nhà nước, thúc đẩy phát triển kinh tế, tạo lập xã hội số nhân văn và thu hẹp khoảng cách số.
  • Robot Delta hữu dụng trong nhiều ngành
    Nhờ vào thiết kế độc đáo và khả năng hoạt động với tốc độ và độ chính xác cao, robot Delta là một giải pháp tối ưu trong nhiều ngành công nghiệp hiện đại.
  • Cà Mau ứng dụng các phần mềm chuyển đổi số trong ngành nông nghiệp
    Ngành nông nghiệp tỉnh Cà Mau đã không ngừng triển khai các giải pháp chuyển đổi số thông qua việc sử dụng các phần mềm, xây dựng cơ sở dữ liệu chuyên ngành phục vụ quản lý, điều hành. Trong tương lai không xa, các phần mềm này sẽ hoàn thiện và bắt kịp xu hướng công nghệ để hỗ trợ người nông dân nhiều hơn trong việc tăng gia sản xuất.
  • Bảo vệ các hệ thống mạng trọng yếu là cấp thiết
    Song song với tiến trình chuyển đổi số, các chiến dịch tấn công mạng, gián điệp và khủng bố mạng nhằm vào hệ thống công nghệ thông tin (IT) và công nghệ vận hành (OT) trọng yếu ngày càng gia tăng, việc đảm bảo an ninh mạng trở thành ưu tiên hàng đầu của các quốc gia.
  • ‏OPPO Find X8 Series sẽ chính thức lên kệ ngày 7/12‏
    Ngày 21/11, OPPO chính thức ra mắt Find X8 Series‏‏ tại Việt Nam và sẽ lên kệ ngày 7/12 tới. Đây là lần đầu tiên người dùng Việt Nam được trải nghiệm dòng flagship cao cấp nhất của OPPO cùng lúc với toàn cầu. ‏
  • Chuyển đổi số từ thực tiễn Báo Hải Dương
    Báo Hải Dương có nhiều thuận lợi khi thực hiện chuyển đổi số. Đó là Ban Biên tập có quyết tâm cao. Đội ngũ cán bộ, phóng viên, nhân viên của báo nhanh nhạy với cái mới, ham học hỏi...
  • Đưa siêu ứng dụng "Công dân Thủ đô số - iHanoi" vào cuộc sống
    “Công dân Thủ đô số” - iHaNoi là kênh tương tác trực tuyến trên môi trường số giữa người dân, doanh nghiệp với các cấp chính quyền thành phố Hà Nội. Qua ứng dụng này, người dân và doanh nghiệp có thể phản ánh các vấn đề đời sống, từ đó giúp chính quyền tiếp nhận và giải quyết kịp thời.
Cách phòng tránh ứng dụng giả mạo trên smartphone
POWERED BY ONECMS - A PRODUCT OF NEKO