Ứng dụng di động có thể bị lạm dụng để thực hiện những cuộc gọi tự động

Biện pháp phòng ngừa an ninh bị bỏ qua trên các ứng dụng di động như Facebook messenger có thể bị lạm dụng để thực hiện cuộc gọi đắt đỏ mà nạn nhân chính là người phải gánh chịu chi phí, một nhà phát triển khẳng định.

Số điện thoại thường xuyên xuất hiện như những đường dẫn trên một thiết bị di động. Có thể dùng các Uniform Resource Identifier (URI) hay còn gọi là “tel” để kích hoạt cuộc gọi. URI là một tập hợp các mô tả để có thể điều khiển máy tính đến một nguồn tài nguyên nhất định, chẳng hạn như cài đặt một ứng dụng mail khi một địa chỉ email được kích hoạt.

Andrei Neculaesei, một nhà phát triển full-stack đến từ công ty trực tuyến không dây Airtaim tại Copenhagen, khẳng định nguy cơ trong cách thức mà hầu hết các ứng dụng di động xử lý các số điện thoại. Nếu một người nhấp chuột vào một số điện thoại di động trong trình duyệt Safari của Apple một cửa sổ pop-up sẽ hỏi liệu bạn có muốn thực hiện cuộc gọi không.

Tuy nhiên, nhiều ứng dụng di động, bao gồm cả Facebook Messenger và Google+, sẽ tự động thực hiện cuộc gọi mà không cần hỏi, Neculaesei viết trên blog của mình. Ứng dụng di động có thể được cấu hình để hiển thị một cảnh báo, nhưng nó bị tắt trên hầu hết các ứng dụng.

Neculaesei đã phát hiện ra một cách gây nhiễm độc để lạm dụng tính năng này. Anh ta tạo ra một trang web có chứa JavaScript khiến cho ứng dụng điện thoại di động kích hoạt cuộc gọi sau khi một người nào đó chỉ đơn thuần xem trang web. JavaScript tự độnggọi đếnURI tương ứng với số điện thoại khi trang web được mở ra.

Một minh chứng trên blog của Neculaesei đã đưa ra cách thức một liên kết độc hại, được gửi thông qua Facebook Messenger, sẽ thực hiện một cuộc gọi khi có người dùng đọc tin nhắn đó. Neculaesei viết rằng ai đó có thể tạo ra một liên kết khi được xem sẽ ngay lập tức thiết lập một cuộc gọi đến các đầu số dịch vụ, những kẻ tấn công được hưởng lợi từ đó.

Thử nghiệm của anh cho thấy ứng dụng messenger của Facebook, FaceTime của Apple, ứng dụng Gmail và Google+ của Google không cảnh báo người dùng trước khi thực hiện cuộc gọi. Facebook và Google không thể đưa ra bình luận ngay. Neculaesei viết rằng anh chỉ thử nghiệm với một vài ứng dụng có tên tuổi, nhưng khả năng cao là các nhóm nhỏ và các nền tảng cũng không nghĩ đến nguy cơ này.

Phát hiện của Neculaesei trùng hợp với nghiên cứu được trình bày hồi đầu tháng này tại hội nghị an ninh Bsides ở Las Vegas. Guillaume K. Ross, một nhà tư vấn an ninh thông tin tại Montreal, phát hiện ra rằng các chương trình URI có thể bị lạm dụng, dẫn đến mất mát dữ liệu hoặc ảnh hưởng đến sự riêng tư của cá nhân.

Softpedia