Bkav: Nha phat trien phan mem can dac biet de tam den lo hong bao mat tren Firebase
Theo nhận định của các chuyên gia bảo mật Bkav, lỗ hổng của Firebase rất nghiêm trọng, ảnh hưởng tới nhiều loại dịch vụ phần mềm như: sức khỏe, truyền thông, thông tin, tài chính doanh nghiệp… (Ảnh minh họa. Nguồn: Internet)

Dẫn nguồn tin từ trang Security Week, Diễn đàn An ninh mạng Việt Nam – WhiteHat.vn vừa cho hay, hàng ngàn ứng dụng di động chạy trên iOS và Android vừa bị lộ lọt hơn 113 gigabyte dữ liệu từ 2.300 cơ sở dữ liệu Firebase, nền tảng phát triển ứng dụng di động và web, theo báo cáo của Appthority.
Nghiên cứu mới của Appthority được thực hiện tiếp theo báo cáo năm ngoái về vectơ tấn công HospitalGown, cho thấy hơn 1.000 ứng dụng di động trên các thiết bị doanh nghiệp bị lộ dữ liệu nhạy cảm thông qua kết nối không an toàn với máy chủ đầu cuối. Tương tự như lỗ hổng HospitalGown, được tìm thấy trong kiến trúc và cơ sở hạ tầng của ứng dụng di động, lỗ hổng an ninh tồn tại do các nhà phát triển ứng dụng không yêu cầu xác thực khi truy cập cơ sở dữ liệu đám mây Google Firebase.

Cũng theo Security Week, là một trong những công nghệ cơ sở dữ liệu đầu cuối phổ biến nhất cho các ứng dụng di động nhưng Firebase không đảm bảo an toàn dữ liệu người dùng. Firebase không cảnh báo các nhà phát triển khi dữ liệu gặp nguy hiểm và cũng không cung cấp các công cụ mã hóa của bên thứ ba. Để đảm bảo dữ liệu được an toàn, các nhà phát triển ứng dụng cần triển khai bước xác thực người dùng trên tất cả các bảng và hàng cơ sở dữ liệu, nhưng điều đó hiếm khi xảy ra, Appthority giải thích trong báo cáo. Do đó, kẻ tấn công có thể dễ dàng phát hiện cơ sở dữ liệu ứng dụng Firebase mở và truy cập các bản ghi riêng tư.
Vấn đề an ninh mà Appthority đề cập đến là lỗ hổng Firebase, có ảnh hưởng rất nghiêm trọng, rò rỉ 100 triệu bản ghi (113 gigabyte) dữ liệu từ cơ sở dữ liệu Firebase không an toàn. Sau khi “đào bới” hàng triệu ứng dụng, các nhà nghiên cứu an ninh phát hiện 28.502 ứng dụng di động (27.227 Android và 1.275 ứng dụng iOS) được kết nối với cơ sở dữ liệu Firebase, 3.046 trong số đó (10,69%) bị phát hiện có lỗ hổng, gồm 2.446 ứng dụng Android và 600 ứng dụng iOS.
Trong số 3.000 ứng dụng dễ bị tấn công, Appthority đã tiết lộ hơn 100 triệu hồ sơ dữ liệu từ 2.300 cơ sở dữ liệu có lỗ hổng (1 trong 10 cơ sở dữ liệu Firebase, hay 10,34%). Chỉ riêng trên Android, các ứng dụng dễ bị tấn công đã có hơn 620 triệu lượt tải xuống.
Các ứng dụng bị ảnh hưởng thuộc nhiều danh mục, bao gồm các công cụ, năng suất, sức khỏe và thể dục, truyền thông, tài chính và các ứng dụng kinh doanh, và có ảnh hưởng đến 62% doanh nghiệp. Các tổ chức bị ảnh hưởng bao gồm ngân hàng, viễn thông, dịch vụ bưu chính, công ty chia sẻ chuyến đi, khách sạn và tổ chức giáo dục ở Hoa Kỳ, Châu Âu, Argentina, Braxin, Singapore, Đài Loan, New Zealand, Ấn Độ và Trung Quốc.
Phân tích các dữ liệu bị lộ cho thấy 2,6 triệu mật khẩu văn bản thuần túy và ID người dùng; hơn 4 triệu bản ghi Thông tin Y tế được bảo vệ (bao gồm tin nhắn trò chuyện và chi tiết đơn thuốc); 25 triệu bản ghi vị trí GPS; 50.000 hồ sơ tài chính bao gồm giao dịch ngân hàng, thanh toán và giao dịch Bitcoin; cùng hơn 4.5 triệu token người dùng Facebook, LinkedIn, Firebase và lưu trữ dữ liệu doanh nghiệp.
Báo cáo của Appthority cũng cho thấy 975 (40%) các ứng dụng có lỗi có liên quan đến kinh doanh, được cài đặt trong môi trường khách hàng hoạt động, rò rỉ khóa riêng tư và thông tin truy cập của công ty (có khả năng cho phép kẻ tấn công xâm nhập tài sản trí tuệ nhạy cảm), trao đổi kinh doanh riêng tư và thông tin bán hàng.
Số lượng ứng dụng kết nối với cơ sở dữ liệu Firebase đã tăng lên đáng kể kể từ năm 2015 và do đó số lượng ứng dụng dễ bị tấn công cũng tăng lên. Từ năm 2015 đến năm 2016, các ứng dụng sử dụng Firebase tăng 2,112%, trong khi các ứng dụng có lỗ hổng đã tăng 1,225%. Từ năm 2016 đến năm 2017, tốc độ tăng trưởng lần lượt là 271% và 74%.
Đáng chú ý, từ kết quả nghiên cứu mới của Appthority được Security Week nêu, các chuyên gia an ninh mạng của Bkav nhận định lỗ hổng của Firebase rất nghiêm trọng, ảnh hưởng tới nhiều loại dịch vụ phần mềm như: sức khỏe, truyền thông, thông tin, tài chính doanh nghiệp… “Các nhà phát triển phần mềm được khuyến cáo cần đặc biệt để tâm tới lỗ hổng Firebase, kiểm tra ứng dụng của mình xem có tồn tại lỗi hay không. Nếu có, cần áp dụng những biện pháp phù hợp”, chuyên gia Bkav nhấn mạnh.
Theo Trung tâm xử lý tấn công mạng Internet Việt Nam thuộc Cục An toàn thông tin – Bộ TT&TT, trong tuần 24/2018, từ ngày 11/6 – 17/6/2018, các tổ chức quốc tế đã phát hiện và công bố ít nhất 596 lỗ hổng, trong đó có 28 lỗ hổng RCE (cho phép chèn và thực thi mã lệnh) và 31 lỗ hổng đã có mã khai thác.
Cũng trong tuần 24/2018, hệ thống kỹ thuật của Cục An toàn thông tin đã chủ động rà quét trên không gian mạng Việt Nam, đánh giá, thống kê cho thấy có 6 nhóm lỗ hổng trên các sản phẩm, dịch vụ CNTT phổ biến, có thể gây ảnh hưởng lớn đến người dùng ở Việt Nam, bao gồm: nhóm 10 lỗ hổng trên nhiều sản phẩm của Apple (iOS, macOS, Safari) cho phép đối tượng tấn công thực hiện tấn công từ chối dịch vụ, đánh cắp thông tin, nhiều lỗ hổng cho phép chèn và thực thi mã lệnh; nhóm 50 lỗ hổng trên nhiều sản phẩm của Microsoft (Windows, Office, Window Server, Internet Explorer,…) cho phép thực hiện tấn công từ chối dịch vụ, chèn và thực thi mã lênh, đánh cắp thông tin nhạy cảm trên hệ thống; nhóm 317 lỗ hổng trên các sản phẩm của Mozilla (Firefox, Firefox ESR, Thunderbird…) cho phép đối tượng thực hiện tấn công từ chối dịch vụ, XSS, đọc và chỉnh sửa dữ liệu, chèn và thực thi mã lệnh; 3 lỗ hổng trên các thiết bị của Huawei (HG255s-10 V100R001C163B025SP02, LYO-L21, Mate 9) cho phép đối tượng truy cập trái phép vào dữ liệu, chiếm đặc quyền, chèn và thực thi mã lệnh; nhóm 24 lỗ hổng trên hệ điều hành Android cho phép đối tượng gây tràn bộ đệm thiết bị hoặc đánh cắp mật khẩu người dùng; nhóm 2 lỗ hổng trên hệ quản trị nội dung Joomla cho phép đối tượng tấn công thực hiện thực hiện tấn công SQL Injection, tấn công XSS, trong đó CVE-208-12254 đã có mã khai thác.
M.T

VietBao.vn