Các ứng dụng di động bị lợi dụng để thực hiện các cuộc gọi tốn phí không mong muốn

Diem Do

Theo như một lập trình viên cho rằng, việc phòng ngừa bảo mật đã bỏ qua trong các ứng dụng di động chẳng hạn như tin nhắn của Facebook bị lợi dụng để thực hiện các cuộc gọi tốn phí không mong muốn

 

Các số điện thoại thường được hiển thị dưới dạng liên kết trên điện thoại di động. Nên việc thực hiện một cuộc gọi thông qua Uniform Resource Identifier (URI) là điều hoàn toàn có thể xảy ra.

 

URL là một bộ các mô tả có thể cho máy tính biết nơi để đi đến một nguồn tài nguyên nhất định, chẳng hạn như kích hoạt ứng dụng email khi người dùng click vào một địa chỉ email.

 

 

Andrei Neculaesei là một nhà phát triển full-stack của công ty Airtame thuộc lĩnh vự truyền tải không dây ở Copenhagen, cho rằng có một rủi ro trong cách các ứng dụng điện thoại native app.

 

Nếu người dùng click vào một số điện thoại trên trình duyệt Safari di động của Apple, một pop-up yêu cầu hiện ra nếu một người muốn tiến hành cuộc gọi.

 

Nhưng nhiều ứng dụng di động nền tảng native app bao gồm cả Mesenger của Facebook và Google + sẽ tự động thực hiện cuộc gọi mà không có bất cứ thông báo gì cho người dùng, Neculaesei đã viết trên trang blog của ông ấy như vậy.

 

Trong một thông báo qua email của Neculaesei cho biết, các ứng dụng di động có thể được cấu hình để hiển thị các cảnh báo, nhưng trên hầu hết các ứng dụng  dụng, cảnh báo này được tắt đi.

 

Ông ấy đã phát hiện ra nguyên tắc hoạt động của các ứng dụng độc hại. Ông ấy tạo ra một trang web chứa JavaScript khi người dùng mở trang web này, Javascript sẽ tự động nhận dạng chuỗi số điện thoại và thực hiện cuộc gọi mà không qua cảnh báo người dùng.

 

Một bài viết trình bày trên blog của ông ấy cho thấy cách một liên kết độc hại được gởi đi thông qua Messenger của Facebook là như thế nào, liên kết này sẽ khởi động cuộc gọi khi được hiển thị. Neculaesi cảnh báo: Người dùng có thể bị kẻ xấu lợi dụng khi xem các đường link do bọn chúng gửi, ngay khi click vào hiển thị, điện thoại sẽ tự động thực hiện cuộc gọi, và tài khoản người dùng sẽ bị  trừ vào các tài khoản đã được định sẵn.

 

Việc thử nghiệm của anh ấy phát hiện ra ứng dụng Messenger của Facebook, Facetime của Apple, Gmail của Google và các ứng dụng của Google + không có cảnh báo tới người dùng khi thực hiện cuộc gọi.

 

Facebook và Google chưa nhận được các cảnh báo này . Neculaesei đã viết rằng ông ấy đã kiểm tra một vài ứng dụng có tên tuổi, nhưng có thể là các nhóm nhỏ hơn hoặc là các nền tảng đã không nghỉ về các rủi ro có thể xảy ra.

 

Neculaesei nhận ra sự trùng hợp với nghiên cứu được trình bày vào đầu tháng trước tại hộ nghị bảo mật Bsides ở Las Vegas.

 

Guilaume K.Ross là một nhà tư vấn bảo mật thông tin ở Montreal đã tìm ra hệ thống URI có thể được tận dụng trong việc ăn cắp dữ liệu mật và thông tin các nhân . Có một bài thuyết trình video của anh ấy trên trực tuyến.

Chia sẻ bài viết ngay

Nguồn bài viết : pcworld.com