Mobile Security

Ở hình vẽ trên ta có thể thấy được xu hướng người dùng mobile vượt xa pc qua các năm. Vì mobile cầm tay, tiện lợi và có thể sử dụng được mọi lúc mọi nơi, nơi lưu trữ thông tin không thua pc nên người dùng càng ưa chuộng.

Tuy nhiên, gần đây nhiều bài báo phản ánh tình trạng người dùng bị mất thông tin cá nhân hoặc bị lừa 1 số tiền nào đó khi trả lời tin nhắn nặc danh, nên vấn đề về mobile security cần được quan tâm.

Mobile security là lĩnh vực khá rộng nên bài viết chỉ tập trung vào mô hình bảo mật (security model) của Google Android và Apple iOS, các lỗ hổng gần đây trên các thiết bị mobile.

h3. I. Security Model của Apple iOS:

- iOS là hệ điều hành được sử dụng trên iPhone và iPad.

- Theo IDC (Internet Data Center), có 21% smartphone dùng iOS.

- Mức độ kiểm nghiệm ứng dụng và chứng thực của iOS rất khắt khe hơn Android.

- Trước khi đưa app lên store thì Apple phải kiểm tra ứng dụng đó. Tiến trình này gồm phân tích app dựa vào nhiều tiêu chuẩn, ví dụ chức năng, tính ổn định, độ rủi ro về security.

- Người dùng muốn download được app trên store cũng cần phải nhập id và password.

- Mặc dù không phải tất cả các tiêu chuẩn đánh giá này hoàn hảo nhưng nhìn chung hiệu quả.

h3. II. Security Model của Google Android:

- Android là hệ điều hành mã nguồn mở và là hệ điều hành dựa trên Linux cho các thiết bị mobile.

- Phần lớn hacker sẽ tập trung vào Android nhiều vì Google lựa chọn mô hình chứng thực ít khắt khe hơn, cho phép developer giới thiệu app của mình dưới dạng ẩn danh mà không bị kiểm tra.

- Ngoài ra thì còn 1 số lí do sau:

1.  Tính phổ biến (popularity): đa số mọi dòng máy đều sử dụng hệ  điều hành Android và app dành cho Android rất nhiều.

2. Nền tảng mở (open platform): không như iOS, người dùng có thể tải software trên Android nhiều cách, như là: file-sharing apps, website, e-mail.

h3. III. Các lỗ hổng trên mobile:

- Mọi phần mềm đều có bug, bug thường có độ severity. Nếu bug ảnh hưởng nghiêm trọng tới bảo mật hệ thống thì được gọi là lỗ hổng (vulnerability).

- Hacker tấn công vào lỗ hổng thì đc gọi là khai phá (exploit).

- Một số lỗ hổng gần đây:

*1. Android Master Key:*

- Hacker sẽ chỉnh sửa và duplicate 1 file apk nào đó ở trong 1 app.

- Lỗ hổng này cho phép tin tặc đưa các bản cập nhật chứa mã độc vào các ứng dụng hợp pháp, biến chúng trở thành những ứng dụng độc.

*2. Mã độc Androidos_OBAD:*

- Obad là một loại mã độc cực kì nguy hiểm. Đây là một loại Trojan và có tên kĩ thuật là Backdoor.AndroidOS.Obad.

- Mã độc này có thể gửi tin nhắn SMS tới các số danh bạ, tải về các phần mềm độc hại khác rồi tự động cài lên thiết bị lây nhiễm. Thậm chí nó có thể phát tán qua Bluetooth.

- Sau khi cài đặt một ứng dụng chứa Obad, mã độc này sẽ giành quyền Device Administrator khi người dùng cấp quyền sử dụng màn hình khóa. Với những thiết bị Android đã được root, Obad còn cố giành quyền root và sẽ trở nên nguy hiểm hơn.

*3. Heartbleed:*

- Về cơ bản, đó là một sự rò rỉ thông tin, bắt đầu bằng một lỗ hổng trong các phần mềm mà đại đa số các trang web sử dụng để chuyển thông tin cá nhân của người dùng thành các chuỗi số và chữ cái ngẫu nhiên.

- Lỗi này có thể cho phép bất cứ ai trên mạng internet nhìn ra tên, mật khẩu, và nội dung người dùng và chuyển hướng họ đến những trang web giả mạo.

*4. Những giải pháp khắc phục:*

- Nên cài đặt các ứng dụng bảo mật.

- Tải app từ những nhà sản xuất phần mềm đáng tin cậy.

- Chặn các tin nhắn spam.

- Update các bản vá (patch) để fix lỗ hổng là điều vô cùng quan trọng.

Nguồn: Mobile Security for Dummies - Rich Campagna, Subbu Iyer, Ashwin Krishnan