An toàn thông tin

Rủi ro an ninh mạng của trợ lý ảo

P.V • 22/10/2024 06:02

Trợ lý ảo giúp cuộc sống của chúng ta dễ dàng hơn, nhưng liệu chúng có an toàn không?

Câu hỏi về bảo mật đối với trợ lý ảo

Để tìm câu trả lời cho câu hỏi “Trợ lý ảo giúp cuộc sống của chúng ta dễ dàng hơn, nhưng liệu chúng có an toàn không?”, Sanchari Das, Phó giáo sư khoa học máy tính tại Trường Kỹ thuật và Khoa học Máy tính Ritchie (Đại học Denver, Hoa Kỳ), đã kiểm tra các ứng dụng trợ lý ảo (VA) được sử dụng rộng rãi và phát hiện ra một số thực tiễn hoạt động bảo mật và quyền riêng tư có khả năng làm lộ dữ liệu riêng tư của người dùng cho những kẻ xấu.

Trợ lý ảo (VA) đã được sử dụng nhiều hơn trong những năm gần đây do dễ dàng sử dụng cho các tác vụ hàng ngày. Mặc dù ngày càng phổ biến, nhưng những tác động về bảo mật và quyền riêng tư của chúng vẫn chưa được hiểu rõ. Das, người có nền tảng về nghiên cứu quyền riêng tư và bảo mật người dùng đã phân tích các ứng dụng có thể truy cập bao nhiêu dữ liệu người dùng và người dùng phải cung cấp bao nhiêu quyền.

Sử dụng ba công cụ kiểm tra lỗ hổng - AndroBugs, RiskInDroid và MobSF - để đánh giá tính bảo mật và quyền riêng tư của của tám trợ lý giọng nói được sử dụng rộng rãi như: Alexa, Braina, Cortana, Google Assistant, Kalliope, Mycroft, Hound và Extreme. Phân tích của Das tập trung vào năm lĩnh vực: Mã, kiểm soát truy cập, theo dõi, phân tích nhị phân và bảo mật dữ liệu nhạy cảm.

Kết quả cho thấy các VA này có nhiều mối đe dọa bảo mật. Các lỗ hổng này có thể cho phép các tác nhân độc hại truy cập trái phép vào thông tin cá nhân của người dùng. Chúng thu thập rất nhiều dữ liệu và thông thường, người sử dụng trợ lý ảo không nhận ra điều đó.

Các lỗ hổng đáng lo ngại

Bằng cách kiểm tra mã và chức năng cơ bản của từng ứng dụng, Das đã phát hiện ra một số lỗ hổng đáng lo ngại, bao gồm việc sử dụng các phương pháp mã hóa yếu; chứng chỉ không phải SSL (Secure Sockets Layer), tạo ra con đường cho các cuộc tấn công chiếm quyền điều khiển DNS; và thực hiện các truy vấn SQL thô, có khả năng cho phép các cuộc tấn công tiêm SQL.

Các khai thác tương tự đã dẫn đến các sự cố an ninh mạng lớn trong nhiều ngành công nghiệp trong quá khứ. Das và các sinh viên của cô cũng đã kiểm tra thủ công từng ứng dụng trong các môi trường mô phỏng. Cô cho biết: "Chúng tôi đã xem xét loại dữ liệu nào mà người dùng đang yêu cầu và cách chúng tôi có thể bảo vệ dữ liệu đó".

Việc xử lý dữ liệu không đúng cách, mã hóa và thực hành xác thực không phải là những phát hiện đáng chú ý duy nhất. Nhiều tính năng hữu ích do trợ lý ảo cung cấp, như sử dụng lệnh thoại để gửi tin nhắn, bắt đầu hoặc dừng nhạc hoặc điều hướng bằng bản đồ Google hoặc Apple, yêu cầu truy cập thông tin từ thiết bị mà chúng chạy trên đó - thường là người dùng không nhận thức được và cung cấp cho những kẻ xấu một con đường tiềm năng khác để khai thác.

Thật vậy, có nhiều cách khác nhau mà trợ lý ảo (VA) có thể gây rủi ro cho an ninh mạng. Dữ liệu nhạy cảm, như lịch, email và thông tin cá nhân, thường có thể được các trợ lý này truy cập. Dữ liệu này có thể bị tấn công mạng nếu không được bảo vệ đầy đủ. Sau đây là một số mối nguy hiểm an ninh mạng cụ thể liên quan đến VA:

Vi phạm bảo mật dữ liệu: Tin tặc có thể xâm nhập vào hệ thống VA mà không được phép và lấy thông tin người dùng riêng tư. Sau đó, thông tin này có thể bị khai thác để gian lận, đánh cắp danh tính hoặc các hoạt động bất chính khác.

Tiêm mã độc: Bằng cách chèn mã độc vào hệ thống VA, tin tặc có thể lợi dụng chúng và đánh cắp dữ liệu hoặc thực hiện các hoạt động bất hợp pháp.

Các cuộc tấn công của kẻ lừa đảo: Kẻ tấn công có thể sử dụng trợ lý ảo (VA) để gửi email hoặc tin nhắn lừa đảo nhằm lừa họ tiết lộ thông tin cá nhân hoặc nhấp vào các liên kết độc hại.

Một số ứng dụng VA cũng có trình theo dõi - các công cụ được tích hợp vào ứng dụng để thu thập dữ liệu. Một số chương trình hữu ích như báo cáo về sự cố và lỗi, trong khi các trình theo dõi khác thu thập thông tin về tương tác của người dùng với ứng dụng và thậm chí là vị trí.

Mặc dù trình theo dõi có thể hữu ích trong việc cải thiện hiệu suất và tiện ích của ứng dụng, nhưng chúng cũng có thể được sử dụng để dự đoán hành vi của người dùng và phục vụ quảng cáo được nhắm mục tiêu.

Những trợ lý cá nhân có khả năng thu thập rất nhiều thông tin về người dùng, thông tin có thể được sử dụng để theo dõi nơi ở của họ, theo dõi các cuộc trò chuyện của họ và tạo hồ sơ cuộc sống toàn diện. Các VA có nguy cơ chung là bị sử dụng như một công cụ để giám sát và theo dõi. Das cho biết thông tin cá nhân được thu thập có thể bị sử dụng một cách ác ý.

Các lưu ý về bảo mật

Nhìn chung, trợ lý ảo (VA) có thể là công cụ hữu ích, nhưng điều quan trọng là phải hiểu các mối đe dọa an ninh mạng mà chúng gây ra, để góp phần bảo vệ quyền riêng tư và dữ liệu khỏi các cuộc tấn công mạng. Để hạn chế tính dễ bị tổn thương của dữ liệu cá nhân không đơn giản như việc chọn không sử dụng VA, với các ứng dụng được cài đặt sẵn trên hầu hết điện thoại thông minh và máy tính, thường không có tùy chọn xóa hoàn toàn.

Mặc dù một số ứng dụng thu thập dữ liệu cung cấp các cách để hạn chế dữ liệu được thu thập, nhưng phần lớn chúng thường yêu cầu người dùng từ chối không tham gia, thay vì chọn tham gia để cho phép dữ liệu của họ được thu thập và sử dụng.

Việc vá các lỗ hổng mã chỉ là bước khởi đầu để giải quyết các mối lo ngại về bảo mật và quyền riêng tư trong phần mềm VA. Các luật như Quy định bảo vệ dữ liệu chung của Liên minh châu Âu, Đạo luật bảo mật Colorado và một số luật bảo mật dữ liệu khác đã có hiệu lực trong những năm gần đây, đã hạn chế cách dữ liệu có thể được thu thập và sử dụng. Theo Das, các nền tảng lưu trữ các ứng dụng, như Cửa hàng Google Play, cũng có thể nghiêm ngặt hơn trong việc không cho phép phân phối các ứng dụng không an toàn và không bảo mật, để "người dùng thậm chí không phải đặt dữ liệu của họ vào tình trạng nguy hiểm".

Và một vấn đề quan trọng là việc đảm bảo rằng người dùng có thể đưa ra quyết định sáng suốt và yêu cầu người dùng lựa chọn tham gia thay vì lựa chọn không tham gia thu thập dữ liệu. Việc truyền đạt những tác động của lỗ hổng bảo mật và quyền riêng tư cho người dùng, bất kể kiến thức kỹ thuật của họ, không phải là nhiệm vụ dễ dàng, nhưng các nhà nghiên cứu trong lĩnh vực này đang nỗ lực phát triển các cách để chỉ rõ điểm an toàn và bảo mật cho mọi ứng dụng, giống như nhãn dinh dưỡng trên các mặt hàng thực phẩm. Một số lưu ý để giảm thiểu những rủi ro an ninh mạng:

Chọn nhà cung cấp VA đáng tin cậy: Xác minh rằng nhà cung cấp VA thực hiện các biện pháp phòng ngừa cần thiết để bảo vệ dữ liệu người dùng và có hồ sơ bảo mật vững chắc.

Sử dụng xác thực đa yếu tố và mật khẩu mạnh: Để khiến tin tặc khó truy cập vào tài khoản VA của bạn hơn, hãy bảo vệ tài khoản bằng thiết lập xác thực đa yếu tố.

Hãy thận trọng khi tiết lộ thông tin cho VA: Chỉ tiết lộ cho VA dữ liệu mà bạn cảm thấy thoải mái khi được lưu và truy cập dưới dạng điện tử.

Tránh bị lừa đảo: Bất kỳ tin nhắn hoặc yêu cầu không mong muốn nào từ VA của bạn đều phải gây nghi ngờ. Bạn không bao giờ nên nhấp vào liên kết hoặc gửi thông tin quan trọng mà không đảm bảo yêu cầu đó là hợp pháp.

Đảm bảo phần mềm VA phiên bản mới nhất: Để bảo vệ khỏi các lỗ hổng đã biết, hãy đảm bảo các bản sửa lỗi bảo mật trên phần mềm VA được cập nhật.

Das đang tiếp tục nghiên cứu cách các ứng dụng thu thập và sử dụng dữ liệu người dùng, cùng với những rủi ro mà chúng gây ra, nhưng có kế hoạch mở rộng phạm vi nghiên cứu vượt ra ngoài trợ lý ảo. Bà cho biết mục tiêu là phát triển một khuôn khổ để tự động xác định các lỗ hổng bảo mật và quyền riêng tư để các nhà phân phối phần mềm, người dùng cá nhân và người dùng tổ chức đều biết được các rủi ro và có thể đưa ra quyết định sáng suốt hơn.

Tóm lại, trong khi công nghệ cho phép VA làm việc hiệu quả và mang lại giá trị cho khách hàng của họ, nó cũng mang đến những rủi ro cần được quản lý. Khi tội phạm mạng và các mối đe dọa trực tuyến tiếp tục gia tăng, VA nên đảm bảo các biện pháp bảo vệ phù hợp được áp dụng để giảm thiểu các mối đe dọa mạng. Với kiến thức và giao thức phù hợp để xử lý dữ liệu và hệ thống nhạy cảm, VA có thể hoạt động an toàn và giúp giảm thiểu rủi ro cho chính họ và khách hàng của họ./.