Phần mềm WireShark đang theo dõi người dùng truy cập Picasa Web Albums

Điện thoại và máy tính bảng dùng phiên bản Android 2.3.3 trở về trước dễ bị tấn công để truy cập vào lịch làm việc và danh sách liên lạc thông qua một mạng Wi-Fi không được mã hóa. Tuy nhiên người dùng có thể tự bảo vệ mình bằng một số bước như sau.

Trước hết hãy xem cách kể tấn công thực hiện. Những kẻ này đã khải thác lỗ hổng bảo mật nằm trong hàm API CilentLogin, cung cấp khả năng truy cập từ các ứng dụng của Google tới máy chủ Google. Các ứng dụng truy cập bằng cách gửi tên tài khoản và mật khẩu thông qua một kết nối an toàn và có giá trị truy cập trong 2 tuần. Nếu chứng thực gửi về không được mã hóa dạng HTTP, kẻ tấn công có thể sử dụng phần mềm theo dõi (như phần mềm Wireshark) để ăn cắp thông tin qua các mạng Wi-Fi công cộng hay tạo nên những mạng giả mạo với những cái tên dùng chung phổ biến như “sân bay” hay “thư viện”. Sau đó kẻ tấn công có thể truy cập vào các thông tin như danh sách liên hệ, lịch làm việc, hình ảnh riêng tư, .. . của người dùng. Cách tấn công này không thể áp dụng được cho phiên bản Android 2.3.4 hay cao hơn hoặc phiên bản Honeycomb 3.0 – nhưng số lượng máy dùng những phiên bản này mới chỉ có 1%.

Ảnh
Tỉ lệ số người sử dụng giữa các phiên bản Android

Đầu tiên, giải pháp đơn giản nhất là tránh sử dụng những mạng Wi-Fi công cộng không được mã hóa để chuyển sang dùng kết nối 3G hay thậm chí là 4G khi nào có thể. Nhưng đây cũng không phải là một giải pháp tốt, nhất là với những ai sở hữu máy tính bảng chỉ có Wi-Fi hay còn gặp vấn đề và giá cước dữ liệu đắt đỏ.

Một cách khác là lựa chọn vô hiệu hóa khả năng đồng bộ của các ứng dụng Google khi ứng dụng kết nối với các mạng Wi-Fi công cộng. Nguy cơ bảo mật ảnh hưởng đến các ứng dụng kết nối với mày chủ bằng các giao thức chứng thực có tên authToken, không phải HTTPS (giao thức truyền siêu văn bản an toàn). Các ứng dụng bị ảnh hưởng qua thử nghiệm bao gồm Contacts, Calendar và Picasa. Gmail không bị ảnh hưởng bởi ứng dụng này sử dụng HTTPS.

Ảnh
Cách SSH Tunel đảm bảo an toàn cho người dùng

Nhưng lại nảy sinh vấn đề về sự phức tạp và phiền hà, cách này yêu cầu người dùng truy cập sâu vào từng ứng dụng trước khi kết nối mạng và vô hiệu hóa bằng tay khả năng đồng đồ trong suốt thời gian kết nối với mạng Wi-Fi công cộng của những ứng dụng đó. Một giải pháp dễ dàng hơn là sử dụng một các phần mềm ngoài. Một trong những phần mềm tốt nhất cho việc giao tiếp an toàn là SSH Tunnel – được thiết kế cho người dùng Android khi gặp khó khăn với tường lửa chặt chẽ của Trung Quốc. Tuy vậy SSH Tunnel cũng có một số hạn chế: người dùng cần “root” máy trước (tạo quyền truy cập và thay đổi hệ thống của máy) và các nhà phát triển khuyến cáo người dùng không ở Trung Quốc nên tìm kiếm một ứng dụng bảo mật khác.

Một phần mềm tốt hơn là ConnectBot (ứng dụng tạo ra các kết nối an toàn với một máy chủ Secure Shell -SSH), hỗ trợ cả những phiên bản Android trước Cupcake 1.5.

Ảnh
ConnetBot tạo nên một đường kết nối an toàn sử dụng SSH để bảo vệ dữ liệu của người dùng

Người sử dụng các bản ROM của bên thứ 3 như phiên bản CyanogenMod có thể kiểm tra những điểm cải tiến về bảo mật trong bản ROM mình cài đặt. CyanogenMod hỗ trợ VPN (mạng riêng ảo - cho phép các công ty, tổ chức kết nối với nhau thông qua mạng internet công cộng), người dùng có thể tùy chỉnh tắt bỏ tính năng này trong phần cài đặt (từ Settings – Wireless and Network Settings – VPN Settings).

Với sự phân mảnh của các thiết bị của Android, những nguy cơ bảo mật nghiêm trọng chỉ được giảm nhẹ bằng cách giới hạn đặc biệt các ứng dụng và mạng công cộng. Giải pháp lí tưởng nhất là Google và các nhà sản xuất nên phát hành các bản sửa lỗi hoặc nhanh chóng cập nhật lên phiên bản 2.3.4 cho người dùng Android càng sớm càng tốt. Hiện tại Google đang làm việc khẩn trương để tung ra các bản và lỗi cho Contacts và Calendar, Picasa và sự kiến cung cấp dưới hình thức cập nhật "thầm lặng" những cũng phải mất vài tuần nữa để tới được tay người dùng. Cuối cùng người dùng hãy nhớ luôn đề cao cảnh giác khi sử dụng các mạng Wi-Fi công cộng.

Tải phần mềm SSH Tunel tại đây và ConnectBot tại đây

Theo CNET

Slashgear



Bình luận

  • TTCN (0)