Các nhà nghiên cứu tại hãng bảo mật Appthority đã phát hiện ra lỗ hổng bảo mật làm tiết lộ hàng triệu tin nhắn, cuộc gọi và nội dung ghi âm tiếng nói này, họ gọi đó là lỗ hổng Eavesdropper (Người nghe lén).

Theo các chuyên gia của Appthority, nguyên nhân gây ra lỗ hổng bảo mật này là vì các lập trình viên đã sử dụng thủ thuật hard code khi xử lý những thông tin xác thực trong các ứng dụng di động áp dụng chuẩn Rest API của Twilio hay SDK trong các dịch vụ liên lạc qua mạng.

Theo Appthority, các lập trình viên đã không tuân thủ những chỉ dẫn để đảm bảo an toàn dữ liệu trong việc sử dụng thông tin xác thực và token.

"Hard code" là một kỹ thuật viết phần mềm trong đó người lập trình sẽ nhúng dữ liệu trực tiếp vào mã nguồn của chương trình theo cách những dữ liệu đó sẽ không thể thay đổi trừ khi phải chỉnh sửa chương trình này.

"Với việc tiến hành thủ thuật hard code cho các thông tin xác thực, các lập trình viên đã khiến mọi dữ liệu được lưu trong các tài khoản Twilio bị tiếp cận ở quy mô toàn cầu, trong đó có các tin nhắn text/SMS, dữ liệu cuộc gọi và các nội dung ghi âm tiếng nói", chuyên gia bảo mật Michael Bentley của Appthority nhận định.

"Quy mô của việc để lộ dữ liệu là rất lớn, bao gồm hàng trăm triệu thông tin lưu về cuộc gọi, nhiều phút cuộc gọi và ghi âm tiếng nói, các tin nhắn văn bản", chuyên gia này cho biết thêm.

Khoảng 33% số ứng dụng bị dính lỗ hổng bảo mật Eavesdropper có liên quan tới kinh doanh. Trong đó có một ứng dụng dành cho liên lạc bí mật của một cơ quan hành pháp liên bang, một ứng dụng giúp các nhóm nhân viên kinh doanh của doanh nghiệp có thể ghi âm cuộc gọi và thảo luận theo thời gian thực,…

Cho tới nay các ứng dụng bị mắc lỗi này đã được tải về khoảng 180 triệu lượt. Hơn 170 trong số các ứng dụng bị ảnh hưởng hiện vẫn đang được cung cấp trên các gian hàng ứng dụng chính thống hiện nay.

Tại Hội nghị về sản phẩm, dịch vụ ATTT mạng nội địa và đánh giá tình hình lây nhiễm phần mềm độc hại tại Việt Nam mới đây, Thứ trưởng Bộ TT&TT Nguyễn Thành Hưng cho hay, thời gian gần đây, tình hình ATTT trên thế giới tiếp tục diễn biến phức tạp với nhiều cuộc tấn công mạng có quy mô lớn. Tình hình ATTT mạng Việt Nam cũng ngày càng có những diễn biến phức tạp với sự tăng mạnh về quy mô, số lượng, mức độ tinh vi và tính chuyên nghiệp trong các cuộc tấn công mạng, đặc biệt là tấn công mạng vào hệ thống thông tin của cơ quan nhà nước, các tổ chức và DN lớn trong nền kinh tế.

Thứ trưởng Nguyễn Thành Hưng cho biết tình hình mất ATTT ngày càng gia tăng do xu thế tấn công mạng ngày càng quyết liệt, hình thức, tính chất ngày càng nghiêm trọng, phạm vi ngày rộng hơn. Qua thống kê từ năm 2014 - 2016, lây nhiễm mã độc ở máy tính của chúng ta trên 63%.

Theo đó, Thứ trưởng mong muốn DN, đơn vị làm về ATTT tham gia đánh giá, bóc gỡ mã độc. Mặt khác cũng cần lập được thị trường các sản phẩm, dịch vụ ATTT nội địa có vị trí và vai trò. Nhu cầu về sản phẩm, dịch vụ ATTT Việt là rất lớn bởi sẽ mang lại sự yên tâm hơn mà các sản phẩm nước ngoài nhiều khi cũng chưa chắc có thể đáp ứng theo thực tiễn của Việt Nam.

Đại diện Hiệp hội ATTT Việt Nam (VNISA), ông Nguyễn Trí Thành, Chánh Văn phòng VNISA cho biết ngoài một số DN lớn như VNPT, Viettel, Bkav, CMC, các DN hoạt động trong lĩnh vực ATTT mạng, phần lớn là các DN vừa và nhỏ, còn rất non trẻ, quy mô nguồn vốn, nhân lực và kinh nghiệm hoạt động còn hạn chế. Sau hơn một năm kể từ khi Luật ATTT mạng chính thức có hiệu lực và Nghị định 108/NĐ-CP quy định chi tiết về điều kiện kinh doanh sản phẩm, dịch vụ ATTT mạng được ban hành, số lượng DN đã được Bộ TTT cấp phép cung cấp sản phẩm, dịch vụ ATTT đến 5/7/2017 là 7 DN, một con số rất khiêm tốn so với số lượng các DN hoạt động trong lĩnh vực ATTT.

Các DN cung cấp sản phẩm ATTT phần lớn là nhà phân phối hoặc đại lý cho các công ty nước ngoài. Điều này có thể nhận thấy qua số lượng các sản phẩm ATTT do DN tự nghiên cứu, sản xuất được đăng ký bình chọn danh hiệu sản phẩm ATT chất lượng cao của năm còn rất khiêm tốn.