TƯƠNG LAI CỦA NHỮNG ỨNG DỤNG BẢO MẬT TRÊN THIẾT BỊ DI ĐỘNG LÀ GÌ

Chúng ta đang tiến tới kỷ nguyên của sự an toàn thông tin, nơi mà các thiết bị di động kết nối với nhau an toàn, được bảo vệ khỏi những nguy cơ, những cuộc tấn công, hành vi đánh cắp thông tin. Những cuộc gọi thoại, tin nhắn văn bản sẽ được giám sát, kiểm soát chặt chẽ, được mã hóa, do đó chúng sẽ không thể bị xâm nhập, đánh cắp hay nghe lén.

Một ví dụ về ứng dụng WhatsApp của Facebook, quy định về luật an toàn thông tin buộc các nhà cung cấp ứng dụng phải thực thi, ứng dụng WhatsApp tích hợp tính năng mã hóa đầu cuối, những tin nhắn và cuộc gọi được bảo mật. Luật pháp và quy định của các nước buộc các nhà cung cấp phải đáp ứng và bổ sung thêm những tính năng về an toàn thông tin, nhưng trong bối cảnh về sự phát triển như vũ bão, hàng loạt những ứng dụng ra đời thì những quy định đó không thể áp dụng và thực thi toàn bộ.

Trong nhiều năm qua, các nhà phát triển ứng dụng không chú trọng việc bảo mật thông tin. Ví dụ gần đây khi mà Google đã bắt đầu ngăn chặn những ứng dụng bằng tiêu chuẩn bảo mật  SSL trên kho ứng dụng Google Play, chỉ có những kỹ sư Google biết rằng có bao nhiêu ứng dụng đã bị chặn khi không đáp ứng được tiêu chuẩn đặt ra, nhưng số lượng thực tế những ứng dụng này trên những diễn đàn công nghệ là một con số khổng lồ.

Tuy nhiên việc mã hóa thông tin trên ứng dụng dần được chú trọng hơn, khi mà sự bùng nổ về số lượng người dùng trên thiết bị di động đang tăng nhanh. Như trên các thiết bị chạy hệ điều hành Android và iOS, các thiết bị gần đây đã được các nhà sản xuất ẩn đi địa chỉ MAC khi các thiết bị kết nối mạng không dây với nhau, và trên các ứng dụng cũng thu hồi các API cung cấp định danh cụ thể. Các nhà phát triển ứng dụng hiểu rằng sự an toàn thông tin, sự riêng tư của người dung là cần thiết hơn bao giờ hết.

Trong khi đó sự phát triển của công nghệ mã hóa và giải mã có nhiều tiến bộ vượt bậc. Việc tạo ra một hệ thống mật mã là rất phức tạp, và hầu như không nhiều nhà sản xuất làm được, nhưng giờ chúng đã được nhiều nhà phát triển tạo ra và ứng dụng.  Hệ thống bảo mật vẫn còn nhiều lỗ hổng và những nhà phát triển cần khắc phục, xây dựng để hoàn thiện hơn, những phần mềm mã hóa trên các thiết bị di động được cải thiện hơn nữa. Các nhà phát triển có quyền truy cập vào thư viện phần mềm thử nghiệm và các dự án mã nguồn mở để xây dựng và phát triển hệ thống bảo mật hoàn thiện, an toàn và chính xác hơn.

Phương thức bảo mật  thông tin là mã hóa đầu cuối và kiến trúc mạng ngang hàng ( peer-to-peer). Nhiều ứng dụng trước đây kết nối với nhau thông qua cloud server, sơ đồ kết nối người dùng –  máy chủ – người dùng và mã hóa giải mã sẽ được thực hiện ở server.  Tuy nhiên, việc kết nối bằng kiến trúc peer-to-peer được sử dụng nhiều hơn, các gói tin được chuyển trực tiếp từ người gởi tới người nhận. Điều đó có nghĩa rằng thông tin không được mã hóa và giải mã khi đi qua cloud server nữa. Khi thông tin được mã hóa ở phía người gởi, hành vị nghe lén, đánh cắp thông tin trước tiên sẽ xác định đường đi của gói tin thông qua mạng internet và khi xác định được gói tin chúng sẽ giải mã gói tin đó.

Việc sử dụng tính năng mã hóa đầu cuối thì việc đánh cắp thông tin, hay chính phủ yêu cầu cung cấp thông tin của ứng dụng đó cũng không thể được đáp ứng. Những yêu cầu từ chính phủ trong việc cung cấp quyền truy cập dữ liệu, trích xuất và giải mã những thông tin từ những nhà phát triển ứng dụng, nhưng điều này vấp phải sự phản ứng, từ chối từ nhà cung cấp và hãng phát triển.

Cách tiếp cận để đánh cắp thông tin thứ hai đó là khai thác những lỗ hổng bảo mật,  dựa vào đó tin tặc có thể xâm nhập trái phép để thực hiện hành động phá hoại hoặc chiếm đoạt những thông tin bất hợp pháp, để phát hiện và khắc phục những  lỗ hổng này thì các hacker mũ trắng sẽ tung ra những bản sửa lỗi, vá lại những lỗ hổng bảo mật này.

Cách đánh cắp thông tin thứ ba, tin tặc yêu cầu nhà phát triển ứng dụng khôi phục mật khẩu từ tài khoản người dùng, sau đó truy cập vào tài khoản đó và chiếm đoạt thông tin.

Những vấn đề nêu trên cần các nhà phát triển ứng dụng cập nhập những bản vá lỗi, vá những lỗ hổng mà tin tặc có thể khai thác, giải pháp mật khẩu bí mật.

Leave a Comment