Số lượt cài đặt các ứng dụng tài chính trên thiết bị di động đã tăng 15% vào năm 2020 khi nhiều người tiêu dùng cần các phương tiện từ xa để xử lý giao dịch ngân hàng của họ, như được theo dõi trong một nghiên cứu của Liftoff và App Annie. Trên toàn cầu, mọi người đã cài đặt 4,6 tỷ ứng dụng tài chính và dành 16,3 tỷ giờ sử dụng chúng, tăng 45% so với năm 2019.

Đó là một năm vấn đề tăng trưởng nóng đối với ứng dụng ngân hàng di động, vì có rất nhiều người lần đầu tiên tải xuống và khám phá các chương trình này. Với sự tăng trưởng đó, có một cảnh báo đáng kể: Điều mà nhiều người dùng mới và có kinh nghiệm có thể không biết là họ cũng có thể đã tải xuống nhiều ứng dụng tạo cơ hội cho tin tặc và những người khác có thể khai thác lỗ hổng trong các thành phần ứng dụng.

Trung tâm nghiên cứu an ninh mạng Synopsys đã đánh giá hơn 3.000 ứng dụng Android phổ biến nhất được xếp hạng trên Google Play, bao gồm 107 ứng dụng ngân hàng. Các ứng dụng đó đến từ khắp nơi trên thế giới. Phân tích được thực hiện bằng cách sử dụng phần mềm bảo mật Black Duck, vốn được thiết kế để phát hiện các lỗ hổng.

Đa số các ứng dụng có vấn đề tiềm ẩn

Trong số 107 ứng dụng ngân hàng, 88% chứa một số dạng lỗ hổng đã biết, so với mức trung bình của tất cả các danh mục ứng dụng là 63%. Trung bình, mỗi ứng dụng ngân hàng chứa 55 lỗ hổng bảo mật. Báo cáo của công ty cho biết: “Các ứng dụng tài chính yêu cầu một số dữ liệu nhạy cảm cá nhân nhất, khiến những con số này trở nên đáng báo động do tác động tiềm ẩn của một vi phạm bảo mật”.

Thật vậy, các ứng dụng ngân hàng - bao gồm các ứng dụng từ ngân hàng, fintech và các loại hình công ty liên quan cho thấy mức rủi ro tiềm ẩn cao đối với việc mất thông tin cá nhân hoặc bị xâm nhập khác. Chỉ có hai danh mục ứng dụng trò chơi có mức rủi ro cao hơn ứng dụng ngân hàng và ngay sau đó là ứng dụng lập ngân sách và thanh toán.

Tỷ lệ ứng dụng Android chứa cấu phần có lỗ hổng an ninh (theo kết quả phân tích của Synopsys về các ứng dụng hàng đầu trong mỗi danh mục trên Google Play)

Phân tích của Synosys đã xem xét ba lĩnh vực chính liên quan tới khả năng xảy ra lỗ hổng bảo mật của ứng dụng:

• Các lỗ hổng bảo mật trong phần mềm “mã nguồn mở” được các nhà phát triển ứng dụng sử dụng rộng rãi. Phân tích cho thấy 98% trong số hàng nghìn ứng dụng được quét có chứa một số cấu phần phần mềm nguồn mở. Đây là phần mềm có thể được cấp phép công khai và được tích hợp vào các chương trình khác.
• Các trường hợp rò rỉ thông tin có thể xảy ra do các nhà phát triển ứng dụng vô tình để lại dữ liệu nhạy cảm như mật khẩu hoặc khóa.
• Quyền cấp cho thiết bị di động - khi ứng dụng yêu cầu người dùng cho phép ứng dụng đó khai thác các chức năng khác nhau của thiết bị di động như máy ảnh hoặc dịch vụ định vị, có thể vượt quá những gì cần thiết hoặc có thể khiến dữ liệu cá nhân bị xâm phạm.

Đối với người tiêu dùng, báo cáo này nhấn mạnh một thực tế đáng kinh ngạc rằng ngay cả các ứng dụng di động phổ biến nhất cũng không tránh khỏi các điểm yếu về bảo mật và quyền riêng tư và không nên được tin tưởng hoàn toàn. Đối với các nhà phát triển ứng dụng, điều này nhấn mạnh nhu cầu cấp thiết đối với các phương pháp phát triển phần mềm an toàn cũng như bảo vệ quyền riêng tư và bảo mật tổng thể tốt hơn.

Điều này trái ngược với cách mà hầu hết mọi người tải xuống ứng dụng vì đủ loại lý do mà ít nghĩ đến những hậu quả có thể xảy ra. Theo Tim Mackey, Nhà chiến lược bảo mật chính của công ty Synopsys đã đánh giá các ứng dụng Android vì chúng có thể được tải xuống theo cách cho phép phân tích từng phần và từ đầu tới cuối. Ông giải thích, các ứng dụng tải xuống từ Apple Store đều được mã hóa và không thể phân tích theo cách đó, mặc dù các lỗ hổng bảo mật có thể tương tự nhau.

Nguồn lỗ hổng trong ứng dụng ngân hàng

Việc các ứng dụng ngân hàng có lỗ hổng tiềm tàng gặp phải không có nghĩa là các vụ rò rỉ lớn đang xảy ra, nhưng chúng có thể xảy ra, đặc biệt nếu các nhà cung cấp dịch vụ tài chính và người tiêu dùng không tuân thủ các biện pháp cẩn trọng và sử dụng an toàn.

Trong báo cáo gian lận hàng quý vào tháng 3/2021, RSA Security đã báo cáo rằng, trên web, trình duyệt di động và ứng dụng dành cho thiết bị di động, các ứng dụng chiếm 44% số vụ gian lận trong quý 4/2020, do việc sử dụng ứng dụng ngày càng tăng trong đại dịch (các số liệu RSA bao gồm gian lận ứng dụng giả mạo, khi bọn tội phạm sử dụng các ứng dụng giả mạo để đánh lừa mọi người tải chúng. Sau đó, chúng có thể đánh cắp thẻ tín dụng và các dữ liệu nhạy cảm khác).

Để minh họa cho cá rủi ro phát sinh, trong một cuộc phỏng vấn, Mackey giải thích rằng thời kỳ mà mọi thứ trong một gói phần mềm được phát triển hoàn toàn bởi tổ chức phát hành sản phẩm cuối cùng đã qua từ lâu. “Ngày nay có nhiều tác động của chuỗi cung ứng hơn. Các cấu phần đến từ các thư viện mã được phát triển bởi người khác hoặc thậm chí một nhóm nào đó”. Thông thường, các thư viện này được xây dựng trên phần mềm mã nguồn mở, được cấp phép và thường có các lỗ hổng bảo mật chỉ được sửa khi chúng được phát hiện.

Mackey nói tiếp: “Khi nói đến những thứ liên quan đến bảo mật, bạn sẽ không tìm thấy nhà phát triển phần mềm trung bình nào thành thạo về những thứ như mật mã và mã hóa. Họ sẽ sử dụng thư viện của bên thứ ba do một nhóm hiểu rất rõ về bảo mật tạo ra và thỉnh thoảng phần mềm của họ mắc lỗi, vì vậy họ đưa ra các bản vá lỗi".

Rò rỉ trong quy trình vá lỗi

Một trong những lỗ hổng trong ứng dụng là quy trình vá lỗi: Đảm bảo rằng các bản vá sẽ được chuyển từ các nhà phát triển ban đầu đến các nhà phát triển trong các tổ chức tài chính, những người đưa nhiều cấu phần vào ứng dụng, rồi đến App Store hoặc Google Play và cuối cùng là đến tay người tiêu dùng. Trong kịch bản lý tưởng, các bản tải mới đã được vá và cập nhật. Khi đó người tiêu dùng thường cho phép các ứng dụng trên điện thoại hoặc máy tính bảng của họ được cập nhật khi họ nhận được thông báo có bản vá.

Mackey so sánh điều này với quy trình sản xuất ô tô, nơi nhiều thành phần được sản xuất bởi các nhà thầu phụ và lắp ráp tại nhà máy để xuất xưởng những chiếc ô tô. Trong cách so sánh này, các bản vá lỗi giống như việc thu hồi những chiếc ô tô bị lỗi.

Ứng dụng ngân hàng có nhiều chức năng có thể yêu cầu giao tiếp với các tổ chức khác và với nhiều chức năng trên thiết bị di động. Chụp ảnh séc, thanh toán qua Zelle hoặc Venmo hoặc PayPal và rất nhiều yêu cầu khác có thể xuất phát từ bên ngoài.

Ông cho rằng nếu các tổ chức tài chính không chú ý đến các thông báo về các vấn đề bảo mật, hiệu suất hoặc ổn định, thì đó là lúc rò rỉ dữ liệu có thể xảy ra. Nếu người dùng cuối của ứng dụng đã tắt cập nhật, họ sẽ tự chịu rủi ro. Mackey cho biết ông nhận được khá nhiều bản cập nhật mỗi tối từ tất cả các ứng dụng có trên điện thoại di động của mình.

Nếu bất kỳ liên kết nào trong chuỗi liên lạc bị hỏng, thì việc sửa chữa sẽ không được thực hiện. “Một lỗ hổng bảo mật không được khắc phục càng lâu thì càng có nhiều khả năng bị khai thác và việc khắc phục càng trở nên khó khăn hơn”, báo cáo nêu rõ.

Xem xét các quyền mà ứng dụng yêu cầu

Có những lỗ hổng khác, chẳng hạn như kết nối giữa ứng dụng và máy chủ của tổ chức tài chính có thể không hoàn toàn an toàn. Điểm mấu chốt mà báo cáo đã xem xét là các quyền được các ứng dụng hợp pháp yêu cầu để truy cập các chức năng hoặc dữ liệu trong thiết bị.

Các ứng dụng liên quan đến tài chính đòi hỏi các quyền đặc biệt cao so với các loại ứng dụng khác. Theo phân tích của Synopsys, ứng dụng ngân hàng có trung bình 25 quyền, ứng dụng thanh toán 25 quyền và ứng dụng ngân sách 26 quyền.

Số quyền trung bình các nhóm ứng dụng yêu cầu: Các nhóm ứng dụng lập ngân sách, thanh toán và ngân hàng đòi hỏi nhiều quyền nhất

Theo Synopsys, trách nhiệm thuộc về cả hai phía. Các nhà phát triển cần phải hiểu rõ những quyền nào đang được yêu cầu bởi các thành phần mà họ sử dụng để xây dựng ứng dụng của họ. Bên cạnh đó, người tiêu dùng cần phải biết rõ họ cấp quyền gì khi ứng dụng yêu cầu họ và nghiêm túc xem xét liệu họ có nên đồng ý hay không.

Mackey nói: “Một số quyền được coi là nhạy cảm hơn. Quyền truy cập vào điện thoại hoặc tin nhắn văn bản, máy ảnh và thông tin vị trí của bạn là những bộ quyền khá nhạy cảm mà bạn không muốn cấp cho bất kỳ ứng dụng nào (một cách dễ dàng)”.

“Quyền phải phù hợp với những gì mọi người mong đợi về ứng dụng đó. Một số quyền ngân hàng sẽ liên quan đến các yêu cầu nhạy cảm hơn, những thứ sẽ không có ý nghĩa gì nếu bạn chỉ sử dụng ứng dụng Yelp (một ứng dụng đặt thức ăn)”.

Mackey nói rằng người tiêu dùng nên phản đối khi có quá nhiều quyền được yêu cầu. Họ nên liên hệ với với tổ chức (tài chính) của họ và nói: "Tôi đã cố tải xuống ứng dụng của bạn và nó đã yêu cầu rất nhiều thứ. Điều đó không có ý nghĩa gì đối với tôi. Những thứ đó cần để làm gì?" và có thể bản tải xuống mà người dùng cuối tải xuống thực sự không phải là ứng dụng chính thức, mà là một ứng dụng giả mạo trông giống như ứng dụng chính thức.