WuKong_top1
Writer
Hiện nay ngày càng nhiều người cao tuổi tại Việt Nam chủ động tiếp cận và sử dụng thành thạo công nghệ để theo dõi sức khỏe, giấc ngủ và trạng thái tinh thần, các ứng dụng sức khỏe trên Android đã trở thành một phần quen thuộc trong đời sống hằng ngày. Tuy nhiên, việc hàng loạt lỗ hổng nghiêm trọng trong các ứng dụng sức khỏe tâm thần trên nền tảng Android vừa được phát hiện đang làm dấy lên lo ngại về nguy cơ rò rỉ dữ liệu y tế nhạy cảm của hàng triệu người dùng toàn cầu, trong đó có thể bao gồm người dùng tại Việt Nam.
Theo báo cáo, nhóm nghiên cứu đã phân tích 10 ứng dụng sức khỏe tâm thần phổ biến trên Google Play bao gồm ứng dụng theo dõi tâm trạng, liệu pháp nhận thức hành vi (CBT), chatbot trị liệu AI và nền tảng hỗ trợ tâm lý trực tuyến. Tổng số lượt cài đặt cộng dồn của các ứng dụng này vượt mốc 14,7 triệu trên phạm vi toàn cầu.
Theo báo cáo, nhóm nghiên cứu đã phân tích 10 ứng dụng sức khỏe tâm thần phổ biến trên Google Play bao gồm ứng dụng theo dõi tâm trạng, liệu pháp nhận thức hành vi (CBT), chatbot trị liệu AI và nền tảng hỗ trợ tâm lý trực tuyến. Tổng số lượt cài đặt cộng dồn của các ứng dụng này vượt mốc 14,7 triệu trên phạm vi toàn cầu.
Kết quả cho thấy, 1.575 lỗ hổng đã được phát hiện, trong đó có 54 lỗ hổng mức độ cao và 538 lỗ hổng mức trung bình. Dù không có lỗ hổng nào được xếp loại nghiêm trọng nhưng nhiều lỗ hổng hoàn toàn có thể bị khai thác để đánh cắp thông tin đăng nhập, chèn mã HTML, giả mạo thông báo hoặc truy cập trái phép vào dữ liệu trị liệu của người dùng.
Đáng chú ý, một số ứng dụng xử lý dữ liệu gửi từ bên ngoài nhưng không kiểm soát chặt quyền truy cập bên trong, cho phép kẻ tấn công ép ứng dụng mở các chức năng nội bộ liên quan đến đăng nhập và phiên làm việc. Nếu bị khai thác, tin tặc có thể truy cập trái phép dữ liệu trị liệu cá nhân. Bên cạnh đó, nhiều ứng dụng lưu trữ thông tin trên thiết bị thiếu cơ chế bảo vệ, khiến các ứng dụng khác có thể đọc được nhật ký trị liệu, ghi chú CBT (liệu pháp nhận thức - hành vi) và dữ liệu đánh giá tâm lý.
Ngoài ra, các nhà nghiên cứu phát hiện việc nhúng sẵn thông tin hệ thống nhạy cảm trong gói cài đặt và sử dụng cơ chế tạo mã ngẫu nhiên không đảm bảo an toàn, làm tăng nguy cơ bị chiếm quyền truy cập. Đáng lo ngại hơn, phần lớn ứng dụng không phát hiện thiết bị đã chiếm quyền root, khiến dữ liệu sức khỏe dễ bị phần mềm độc hại thu thập trái phép.
Dữ liệu sức khỏe tâm thần là mục tiêu có giá trị cao trên chợ đen với mỗi hồ sơ trị liệu có thể được rao bán với giá lên tới 1.000 USD (~ 26 triệu đồng). Do các ứng dụng này được phân phối công khai qua Google Play, người dùng Việt Nam hoàn toàn có khả năng đã cài đặt và chịu ảnh hưởng nếu lỗ hổng chưa được vá.
Trong khi chờ vá lỗi, người dùng nên hạn chế chia sẻ thông tin nhạy cảm, cập nhật ứng dụng thường xuyên và không sử dụng các app này trên thiết bị đã root nhằm giảm thiểu nguy cơ rò rỉ dữ liệu.
Theo WhiteHat.vn
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview