Ứng dụng độc hại trên Play Store “âm thầm” làm lộ dữ liệu người dùng tại 25 quốc gia

Không ít ứng dụng gắn mác AI trên Google Play Store đang bị phát hiện tồn tại những lỗ hổng bảo mật nghiêm trọng.

Trường hợp đầu tiên là Video AI Art Generator & Maker, ứng dụng từng đạt hơn 500.000 lượt cài đặt và khoảng 11.000 lượt đánh giá. Ứng dụng này đã làm lộ hơn 1,5 triệu hình ảnh, 385.000 video cùng hàng triệu tệp do AI tạo ra.

Nguyên nhân được xác định là do một kho lưu trữ trên Google Cloud Storage bị cấu hình sai. Lỗ hổng này khiến bất kỳ ai cũng có thể truy cập các tệp lưu trữ, kể cả khi không có quyền xác thực. Tổng cộng hơn 12 TB dữ liệu người dùng đã bị phơi bày. Tính từ khi ứng dụng ra mắt ngày 13/6/2023, kho lưu trữ này đã tích lũy và làm lộ tới 8,27 triệu tệp phương tiện.

Hiện ứng dụng không còn hiển thị công khai trên Play Store, được cho là đã bị Google ẩn khỏi kết quả tìm kiếm sau khi các vấn đề bảo mật bị phát hiện.

Đáng chú ý, một ứng dụng khác cùng nhà phát triển là IDMerit cũng bị phát hiện làm rò rỉ dữ liệu xác minh danh tính khách hàng (KYC) - thông tin nhạy cảm mà các tổ chức tài chính sử dụng để xác thực người dùng.

Dữ liệu bị lộ thuộc về người dùng tại khoảng 25 quốc gia… Các thông tin bị rò rỉ bao gồm: họ tên, địa chỉ, mã bưu chính, ngày sinh, số giấy tờ tùy thân, số điện thoại, email, giới tính và siêu dữ liệu viễn thông.

Các chuyên gia cảnh báo việc rò rỉ dữ liệu KYC có thể tạo điều kiện cho các hành vi lừa đảo, mạo danh và tấn công tài chính, đặc biệt trong bối cảnh tội phạm mạng ngày càng tinh vi.

Phần lớn trách nhiệm trong các vụ việc này thuộc về nhà phát triển ứng dụng. Một kỹ thuật gây nhiều tranh cãi song vẫn thường được sử dụng là “mã hóa cứng bí mật” – tức nhúng trực tiếp mật khẩu, khóa mã hóa hoặc thông tin truy cập vào mã nguồn ứng dụng. Điều này tiềm ẩn rủi ro chỉ cần mã nguồn bị lộ, toàn bộ khóa bảo mật có thể bị khai thác.

Theo Cybernews, có tới 72% trong số hàng trăm ứng dụng trên Google Play Store được phân tích tồn tại lỗ hổng tương tự. Đáng lo ngại, các bot tự động chuyên dò quét những kho lưu trữ công khai như GitHub có thể phát hiện và khai thác các khóa “mã hóa cứng” chỉ trong vài giây. Nghiên cứu cho thấy, nếu một nhà phát triển vô tình đưa khóa bảo mật lên kho GitHub công khai, khóa đó có thể bị xâm phạm trong chưa đầy 5 giây.

Do đó, để hạn chế nguy cơ cài phải ứng dụng kém an toàn, người dùng nên kiểm tra hồ sơ nhà phát triển. Nếu một tài khoản phát hành hàng chục ứng dụng có giao diện và tính năng tương tự nhau, đó có thể là dấu hiệu cho thấy họ chạy theo số lượng thay vì đầu tư vào chất lượng và bảo mật. Trên Play Store, người dùng cũng nên ưu tiên các ứng dụng có huy hiệu “Nhà phát triển đã được xác minh”.

Ngoài ra, cần cảnh giác với những ứng dụng khiến điện thoại nóng bất thường, hao pin nhanh dù đã tắt. Đây có thể là dấu hiệu của ứng dụng hoạt động ngầm hoặc thu thập dữ liệu quá mức cần thiết.