Cách phòng tránh ứng dụng giả mạo trên smartphone

Bất chấp các biện pháp bảo mật chặt chẽ của Google và Apple, tội phạm mạng vẫn tìm ra cách vượt qua những đợt kiểm tra ứng dụng để phát tán phần mềm độc hại lên thiết bị di động.

Hầu hết người dùng cài đặt ứng dụng thông qua các kênh chính thống như Google Play hoặc App Store đều tin tưởng thông tin của họ an toàn trước các cuộc tấn công. Tuy nhiên, bất chấp các biện pháp bảo mật chặt chẽ của Google và Apple, tội phạm mạng vẫn tìm mọi cách để qua mặt các đợt kiểm tra này. Chúng làm điều đó bằng cách mạo danh ứng dụng.

Cách đây chưa lâu, khi Ấn Độ ban hành lệnh cấm TikTok, tội phạm đã tạo ra ứng dụng giả mạo mang tên "TikTok Pro" để đánh cắp dữ liệu người dùng. Kẻ tấn công cũng lợi dụng sự sợ hãi đối với dịch bệnh Covid-19 để thu thập thông tin qua các app theo dõi.

Tội phạm mạng đang lợi dụng xu hướng làm việc từ xa khi ngày càng nhiều công ty cho phép nhân viên truy cập các ứng dụng doanh nghiệp thông qua thiết bị di động. Ngoài ra, các mạng Internet cá nhân cũng hạn chế trong việc trang bị biện pháp bảo mật, tạo điều kiện thuận lợi cho hacker tấn công, đánh cắp dữ liệu kinh doanh.

Hai kiểu mạo danh ứng dụng

Ngoài các ví dụ được đưa ra ở trên, việc mạo danh ứng dụng còn xảy ra theo nhiều cách khác. Mục đích của tội phạm mạng là truy cập dữ liệu người dùng, xâm nhập API nền tảng và đánh cắp thông tin doanh nghiệp. Dưới đây là 2 phương thức mạo danh ứng dụng chính được sử dụng phổ biến trong năm 2021.

1. Giả mạo ứng dụng

Tin tặc nhìn thấy cơ hội tấn công thông qua việc tạo ra các ứng dụng trông tương tự những ứng dụng hợp pháp. Chúng thu thập dữ liệu nhạy cảm như thông tin chi tiết về tài khoản ngân hàng, thẻ tín dụng và thông tin sinh trắc học thông qua các ứng dụng mạo danh.

Google Play đã triển khai các biện pháp bảo mật mạnh mẽ hơn, nhưng chúng đôi khi tỏ ra không hiệu quả. Ngay sau khi các ứng dụng di động giả mạo bị loại ra khỏi cửa hàng, chúng lại xuất hiện dưới một hình thức khác. Hơn nữa, việc tải ứng dụng từ nguồn bên ngoài không thể đo lường rủi ro.

Tội phạm mạng sử dụng thông tin chúng đánh cắp cho các mục đích xấu như chiếm đoạt tài khoản, chuyển hướng thanh toán, lấy điểm thưởng. Hoặc mục tiêu đơn giản là bán thông tin cá nhân trên các web đen.

2. Thao túng API

Thao túng API là một cơ chế nhằm trộm dữ liệu doanh nghiệp, cá nhân, hoặc đánh lừa hoạt động kinh doanh của công ty để thu lợi thương mại. Nó được thực hiện bằng cách khai thác lỗ hổng trong chính các API hoặc sử dụng thông tin đăng nhập hợp lệ đã bị đánh cắp từ các doanh nghiệp khác - thậm chí mua trên các web đen - để truy cập vào các hệ thống bên trong (back- end).

Cả 2 hướng tấn công đều dựa trên các tập lệnh và sử dụng khóa API đã được trích xuất từ các ứng dụng dành cho thiết bị di động.

Nghiên cứu của Gartner ước tính rằng API sẽ là phương diện bị tấn công hàng đầu vào năm 2022.

Cách phòng tránh ứng dụng mạo danh

Sau đây là 3 phương pháp chính, đã chứng minh khả năng phòng thủ hiệu quả chống lại việc mạo danh ứng dụng di động.

1. Triển khai cơ chế bảo vệ API

Nhiều người tin rằng việc tăng cường bảo mật các ứng dụng di động đồng thời sẽ bảo vệ các API mà họ sử dụng. Tuy nhiên, điều này không đúng. 

Trên thực tế, một ứng dụng dành cho thiết bị di động chính hãng có thể bị lợi dụng, trở thành công cụ xâm nhập dành cho những kẻ xấu. Chúng có thể sử dụng nó để tạo và triển khai các phiên bản giả mạo.

Hơn nữa, hacker có thể nghiên cứu các yêu cầu/phản hồi API và nhanh chóng xây dựng một tập lệnh, tạo ra các chuỗi API không thể phân biệt được với ứng dụng thật.

Do đó, điều quan trọng là phải xem xét cơ chế bảo mật API riêng biệt với bảo mật ứng dụng dành cho thiết bị di động. Một công cụ bảo vệ API hiệu quả phải có khả năng xác minh các yêu cầu đến API. Phân biệt được yêu cầu từ ứng dụng thật, đã được chứng thực với yêu cầu giả mạo.

2. Sử dụng hệ thống chứng thực ứng dụng

Những kẻ tấn công biết rằng nếu cài đặt được ứng dụng giả mạo trên thiết bị di động của người dùng, chúng có thể thao túng thiết bị cũng như trích xuất dữ liệu kinh doanh và cá nhân có giá trị.

Rất khó ngăn chặn tuyệt đối các ứng dụng giả mạo xâm nhập vào Google Play hoặc App Store, cũng như không thể cấm người dùng tải ứng dụng từ các nguồn khác. Điều có thể làm là đảm bảo không ứng dụng xấu nào có thể kết nối với hệ thống back-end của bạn.

Chứng thực ứng dụng di động là một phương pháp bảo mật có tính an toàn cao. Qua đó, một ứng dụng có thể được chứng minh là phiên bản chính thức của ứng dụng gốc đã xác nhận và tải lên các cửa hàng ứng dụng.

Nếu thông tin xác thực này được chuyển đến back-end cùng với mỗi lệnh gọi API, thì có thể chặn tất cả ứng dụng giả mạo, bất kể chúng đến từ các cửa hàng ứng dụng hay bên thứ 3.

3. Thường xuyên kiểm thử xâm nhập (Pentesting)

Kiểm tra thâm nhập thường xuyên sẽ phát hiện lỗ hổng bằng cách mô phỏng cuộc tấn công tiềm ẩn vào ứng dụng của bạn, xác định các sơ hở trước khi tin tặc khai thác chúng. Thực tiễn tốt nhất là làm việc với một bộ kiểm soát bên ngoài, bởi vì họ ít quen thuộc hơn với hệ thống và có thể xác định các lỗi một cách độc lập, hiệu quả hơn.

Có 2 phương pháp kiểm tra điểm hình. Đầu tiên là kiểm tra từ bên trong. Thử nghiệm diễn ra phía sau tường lửa của ứng dụng để mô phỏng một cuộc tấn công bên trong, chẳng hạn như ai đó sử dụng thông tin đăng nhập bị đánh cắp.

Cách thứ 2 là mô phỏng một cuộc tấn công từ bên ngoài vào hệ thống doanh nghiệp, gồm trang web, ứng dụng di động… nhằm xác định lỗ hổng tiềm ẩn, có thể bị tin tặc khai thác để xâm nhập công ty và các khách hàng.