Trước diễn biến phức tạp của dịch COVID-19, nhiều nước đang cân nhắc sử dụng các ứng dụng theo dõi tiếp xúc người nhiễm bệnh. Tuy nhiên, các nhà chức trách cần thường xuyên kiểm tra và “vá” các lỗ hổng bảo mật, khi mà ứng dụng này khơi dậy các cuộc tấn công mới nhằm vào Bluetooth.

Front view of people with medical masks coughing Free Photo

Các chuyên gia an ninh mạng cảnh báo rằng khi các nước sử dụng ứng dụng theo dõi tiếp xúc COVID-19, các cuộc tấn công mới nhằm vào Bluetooth sẽ tăng vọt. Đối với các công ty phát triển ứng dụng, các chuyên gia kêu gọi phải thường xuyên kiểm tra lỗ hổng và nhanh chóng đưa ra bản vá phù hợp. Đối với chính phủ, cơ sở dữ liệu cần được bảo mật và sử dụng đúng mục đích. Ngoài ra, người dùng cũng được khuyến cáo nên bảo vệ dữ liệu cá nhân và thiết bị của mình để tránh trở thành mục tiêu của tin tặc.

Theo ông Stas Protassov, đồng sáng lập và chủ tịch mảng công nghệ của Acronis, Bluetooth vẫn còn một số lỗ hổng như BlueFrag – Một lỗ hổng nghiêm trọng ảnh hưởng đến thiết bị iOS và Apple vào tháng 2 vừa qua. Nếu như những lỗ hổng này còn tồn tại, hacker có thể dễ dàng xâm nhập vào thiết bị và đánh cắp dữ liệu người dùng.

Protassov cũng nhấn mạnh rằng người dùng cần cập nhật firmware cho thiết bị để khắc phục các lỗ hổng kịp thời. Người dùng cũng nên kiểm tra quyền truy cập của các ứng dụng theo dõi tiếp xúc. Hầu hết các ứng dụng theo dõi tiếp xúc đều sử dụng tín hiệu Bluetooth để xác định chủ nhân điện thoại có ở gần người nghi nhiễm bệnh hay không. Chính điều này đe doạ đến điện thoại của người dùng. Protassov khuyến cáo mọi người cần nhận thức đầy đủ các rủi ro tiềm tàng về bảo mật khi mà nhiều ứng dụng độc hại gắn mác phòng dịch COVID-19 đang tràn lan hiện nay.

Đồng quan điểm với Protassov, Niels Schweissmus – Quản lý mảng kỹ thuật của HackerOne cũng nhấn mạnh các lỗ hổng nghiêm trọng liên quan đến giao thức và triển khai Bluetooth có thể bị tin tặc khai thác và điều khiển các thiết bị Android. Tuy nhiên, cũng cần lưu ý rằng, khắc phục triệt để các lỗ hổng hiện tại không có nghĩa Bluetooth miễn nhiễm với lỗ hổng mới trong tương lai.

Tom Kellermann – Nhà chiến lược an ninh mạng của VMware Carbon Black cũng nhấn mạnh: Các ứng dụng phòng chống dịch cần được kiểm tra và cập nhật thường xuyên. Ngoài ra, các ứng dụng này cần được cài đặt tự động cập nhật và tránh sử dụng trợ lý ảo. Người dùng cũng chỉ nên bật công nghệ không dây khi rời khỏi nhà và hạn chế bật định vị khi sử dụng. Chính phủ cần bảo mật cơ sở dữ liệu và thường xuyên tiến hành kiểm tra ứng dụng để tránh các ứng dụng theo dõi tiếp xúc bị khai thác.

Protassov khuyến cáo thông tin cá nhân (PII) cần phải được lưu trữ và mã hóa đúng cách, nhằm tránh rò rỉ dữ liệu nghiêm trọng như vụ Equifax. Ông cũng đề cập đến việc minh bạch thông tin ứng dụng TraceTogether của chính phủ Singapore. Ông cho biết: Các nước cần nêu rõ đang thu thập những thông tin nào qua các ứng dụng theo dõi tiếp xúc, cách thu thập dữ liệu, ai có quyền truy cập vào dữ liệu và đặc biệt dữ liệu nên được ẩn danh.

Theo chính phủ Singapore, ứng dụng TraceTogether không thu dữ liệu về vị trí cũng như số điện thoại của người dân trong quá trình thiết lập. Mọi dữ liệu đều do Bộ Y tế thu thập và được lưu trữ trong “máy chủ được bảo mật cao” với ID ẩn danh ngẫu nhiên.

Cơ quan quản lý ứng dụng GovTech cho biết khi TraceTogether khởi chạy trên điện thoại, ứng dụng sẽ mã hóa ID người dùng và tạo một ID tạm thời. ID tạm thời sau đó được trao đổi với các điện thoại gần đó và được làm mới thường xuyên, giúp người dùng không bị lộ danh tính. Lưu ý rằng ID tạm thời chỉ có thể được giải mã bởi Bộ Y tế.

Ngoài ra, ứng dụng TraceTogether chỉ hiển thị kết nối giữa các thiết bị, không hiển thị vị trí người dùng, lịch sử dữ liệu cũng được lưu trữ trên điện thoại và chỉ được chia sẻ với Bộ Y tế nếu được người dùng cho phép.

GovTech cho biết: “Điện thoại sẽ lưu ID tạm thời, thông tin về kiểu máy, cường độ tín hiệu Bluetooth và thời gian từ các điện thoại gần đó. Tất cả thông tin này được lưu trữ trên điện thoại của người dùng và không được gửi đến Bộ Y tế, trừ khi người dùng là đối tượng bị theo dõi”.

“Bề mặt tấn công” rộng hơn qua Bluetooth

Samantha Isabelle Beaumont – Chuyên gia tư vấn bảo mật cấp cao của Tập đoàn Integrityys cảnh báo rằng các ứng dụng theo dõi tiếp xúc cho phép tin tặc truy cập Bluetooth của người dùng và lịch sử kết nối Bluetooth trên các thiết bị từng kết nối khác, bao gồm thông tin về xe hơi, âm nhạc, thiết bị IoT gia đình, v…v… Bà cũng khuyến nghị người dùng tự bảo vệ mình bằng cách giới hạn số lượng ứng dụng tải xuống, số lượng thiết bị ghép, lượng dữ liệu chia sẻ qua Bluetooth.

Tuy nhiên, chính phủ Singapore cho biết tin tặc phải nắm bắt được thông tin của người dùng thì mới có thể xâm nhập vào thiết bị. GovTech cho biết Bluetooth truyền tín hiệu trong phạm vi khoảng 10 mét và sẽ “khó có ai đến gần bạn và sử dụng máy tính để trích xuất thông tin từ điện thoại của bạn mà bạn không nhận ra”. GovTech khuyến cáo người dùng cần cập nhật hệ điều hành điện thoại thường xuyên.

Giám đốc an toàn thông tin của Acronis – Kevin Reed nhấn mạnh: Các công ty phát triển luôn cho rằng những cuộc tấn công cần phải được thực hiện trong phạm vi gần, do đó có ít trải nghiệm Bluetooth hơn so với các nền tảng trực tuyến khác. Chính vì vậy, các nhà phát triển có thể bỏ qua những yếu tố gây nên lỗi và lỗ hổng. Hơn nữa, Bluetooth hiện là một chức năng bổ sung cần được kích hoạt, điều này sẽ tạo ra một bề mặt tấn công (attack surface) rộng hơn.

Schweissmus cho biết các nước nên đánh giá attack surface từ các ứng dụng theo dõi tiếp xúc một cách đúng đắn, như kiểm tra mã nguồn tĩnh và thử nghiệm ứng dụng động để tìm ra lỗ hổng.

CTO của RSA – ông Zulfikar Ramzan thì lạc quan hơn, ông tin rằng bên cạnh một số vấn đề bảo mật còn tồn tại, Bluetooth là một giao thức đáng tin cậy hơn so với các giao thức khác. Dù không có hệ thống nào miễn nhiễm với tấn công mạng, nhưng điều này có thể cải thiện theo thời gian. Ông khuyến nghị các nhà thiết kế nên liên tục cải tiến sản phẩm, người dùng cũng cần cập nhật phần mềm thường xuyên, kiểm tra các cài đặt trên thiết bị di động, đặc biệt là các cài đặt liên quan đến quyền riêng tư.

Ramzan cho biết do cho phép xác định khoảng cách của hai cá nhân mà không cần định vị vị trí nên Bluetooth vẫn là lựa chọn hoàn hảo hơn so với các ứng dụng làm lộ vị trí người dùng khác như GPS. “Từ góc độ bảo mật, các ứng dụng theo dõi tiếp xúc chỉ nên thu thập thông tin cần thiết để xác định hai cá nhân có liên lạc với nhau hay không. Theo đó, ứng dụng không cần thu thập vị trí chính xác, mà chỉ cần xác định xem hai người có ở cùng một nơi không.”

Bên cạnh an ninh và quyền riêng tư, mối quan tâm không kém phần quan trọng khác là  vấn đề công bằng. Các hệ thống có thể đảm bảo dữ liệu được thu thập sẽ không bị lạm dụng và sử dụng cho mục đích khác không?

Để các ứng dụng này nhận được tín nhiệm của người dùng, Ramzan nhấn mạnh rằng các nước cần thực hiện kiểm tra, giảm khả năng sử dụng dữ liệu trái phép. Hơn nữa, các công ty tham gia thiết kế hệ thống cũng nên hành động để giải quyết các vấn đề bảo mật mới một cách nhanh chóng.

Ứng dụng theo dõi tiếp xúc có thể gia tăng nguy cơ tin tặc tấn công

Chưa có bằng chứng khẳng định các cuộc tấn công nhắm vào các thiết bị Bluetooth đang gia tăng, nhưng khi ngày càng nhiều nước sử dụng ứng dụng theo dõi tiếp xúc, nguy cơ bị tấn công là rất cao.

Protassov cho biết: “Tin tặc tấn công các ứng dụng hoạt động với dữ liệu Bluetooth nhằm khai thác các ứng dụng đó. Các cuộc tấn công như vậy thường mang tính cơ hội và ở phạm vi gần.” Ông lưu ý thêm rằng hàng triệu người sử dụng ứng dụng theo dõi tiếp xúc với lượng lớn cơ sở dữ liệu sẽ là miếng mồi béo bở cho tin tặc. Trong các vụ lừa đảo liên quan đến COVID-19, tin tặc cũng chạy theo xu hướng và nhằm vào hàng triệu người dùng sử dụng các nền tảng đang phát triển nhanh chóng nhờ đại dịch, đặc biệt là các thiết bị sử dụng Bluetooth.

Ramzan cũng cho biết khi các ứng dụng theo dõi tiếp xúc trở nên phổ biến, chúng sẽ thu hút chú ý của tin tặc, các cuộc tấn công mạng theo đó cũng sẽ gia tăng.

Kellermann cũng chia sẻ rằng: Đơn vị phân tích nguy cơ Carbon Black (hay Carbon Black Threat Analysis Unit) vẫn chưa tìm thấy dấu hiệu các cuộc tấn công nhắm vào thiết bị Bluetooth gia tăng, nhưng ông bày tỏ lo ngại về một vài cuộc tấn công nhằm vào thanh toán trực tuyến. Ông cho rằng các cuộc tấn công như vậy có thể tăng vọt khi nhiều ứng dụng theo dõi tiếp xúc được triển khai, tin tặc có thể lợi dụng và tống tiền người dùng.

Đồng quan điểm, Beaumont chia sẻ thêm: “Càng nhiều cửa sau được tích hợp vào hệ thống, tin tặc càng có thể sử dụng làm đòn bẩy để xâm nhập một thiết bị. Do đó, nếu chúng ta có thể hạn chế lượng theo dõi tiếp xúc trên hệ thống, chúng ta có thể tránh khỏi các mối đe dọa bên ngoài”.

CTO chi nhánh Châu Á-Thái Bình Dương của Check Point Software Technologies – Tony Jarvis cho biết: Trước khi tải xuống một ứng dụng, ông muốn biết dữ liệu nào sẽ được thu thập, ai có quyền truy cập vào dữ liệu và mục đích sử dụng thông tin đó. “Tôi cũng muốn biết về ứng dụng và quyền mà ứng dụng này có thể truy cập. Tôi cần thông báo chính thức về bảo mật dữ liệu cá nhân trước khi tải và sử dụng các ứng dụng đó”.

Ramzan nhấn mạnh cần phải hiểu cụ thể dữ liệu nào sẽ được thu thập, làm thế nào để bảo mật, liệu nó sẽ được chia sẻ với các dữ liệu khác không, làm cách nào để kiểm tra việc dữ liệu không bị lạm dụng, cũng như các biện pháp ứng phó với sự cố an ninh. Kellermann cũng muốn xác định xem các nhà phát triển có thử nghiệm Dự án bảo mật ứng dụng web (OWASP) hay không và liệu các lỗ hổng có được phát hiện và khắc phục hay không, liệu người dùng có thể giới hạn quyền truy cập của ứng dụng vào vị trí GPS và trợ lý ảo không.

Khi được hỏi về những vấn đề này, Hiệp hội GSM không đề cập trực tiếp về các ứng dụng theo dõi tiếp xúc, mà nhấn mạnh rằng mọi biện pháp đều xuất phát từ chính phủ. Tuy nhiên, Hiệp hội cũng thúc giục áp dụng các giải pháp như Hướng dẫn thiết kế bảo mật (Privacy Design Guidelines) của GSMA để phát triển ứng dụng, cho phép các nhà phát triển ứng dụng, nhà phát triển hệ điều hành và các tập đoàn như PEPP-PT thiết kế quyền riêng tư và bảo mật cho phần mềm của mình.

Tổ chức về quyền riêng tư của Liên minh châu Âu PEPP-PT được thành lập nhằm hỗ trợ truy tìm chuỗi lây nhiễm bằng cách cung cấp “tiêu chuẩn, công nghệ và dịch vụ” cho các quốc gia và công ty phát triển. Tổ chức này tự nhận là một “team châu Âu lớn và toàn diện” với các thành viên là Heartbeat Labs, PocketCampus, Vodafone, 3db và ISI.

Theo Znet

Tin liên quan: