Mới đây, trang tin The Hacker News đưa tin về một vụ lộ thông tin khách hàng quy mô lớn của một công ty khởi nghiệp ở Tel Aviv (Israel) có tên là Ai.type. Công ty này đã để lộ thông tin của hơn 31 triệu khách hàng sử dụng phần mềm bàn phím ảo. Vụ việc được phát hiện bởi một nhóm các nhà nghiên cứu của Kromtech Security Center (NEW ORLEANS – Mỹ). Bất kỳ ai cũng có thể tải xuống dữ liệu mà không cần có mật khẩu.
Thành lập năm 2010, Ai.type cung cấp bàn phím ảo có thể tuỳ biến và cá nhân hoá cho điện thoại thông minh và máy tính bảng cho hơn 40 triệu khách hàng trên toàn cầu. Tuy nhiên, cơ sở dữ liệu MongoDB bị cấu hình sai đã để lộ toàn bộ 577 GB dữ liệu chi tiết, nhạy cảm của người dùng trên mạng. Dường như công ty đã thu thập tất cả các loại thông tin, từ danh bạ cho tới các phím mà người dùng từng bấm. Cơ sở dữ liệu bị lộ về hơn 31 triệu khách hàng bao gồm:
Hơn thế nữa, cơ sở dữ liệu bị lộ cho thấy, ứng dụng bàn phím ảo còn đánh cắp danh bạ của người dùng với tổng số hơn 373 triệu bản ghi.
Nếu không tính những phần mềm cố tình đánh cắp thông tin của người dùng, những ứng dụng nghiêm túc cũng có thể bị lợi dụng mà nhà phát triển không biết. Từ sau hội thảo BlackHat 2015, mọi người được biết hầu hết các điện thoại thông minh của Samsung có thể bị tin tặc tấn công và do thám người dùng. Nguyên nhân là Samsung đã phạm sai lầm khi sử dụng SDK của Swiftkey, cấp quyền mức hệ thống cho ứng dụng bàn phím. Đến tháng 7/2016, một số người dùng Swiftkey lại báo rằng, bàn phím của họ gợi ý những cụm từ liên quan đến địa chỉ thư điện tử và các từ khóa tìm kiếm của những người khác. Trước đó, từng có người dùng phải lo lắng vì thấy mật khẩu truy cập ứng dụng ngân hàng của mình xuất hiện trong số các từ gợi ý khi chat với bạn bè.
Liệu người dùng có thể tin tưởng vào sự bảo vệ của Apple hay Google? Về lý thuyết, hệ điều hành của điện thoại thông minh có thể giúp người dùng ngăn chặn việc truy cập mạng của các phần mềm bàn phím, nhưng một khi dữ liệu đã rời khỏi thiết bị thì Apple, Google hay bất kỳ nhà cung cấp hệ điều hành nào, thì cũng không thể kiểm soát được.
Để đảm bảo an toàn, người dùng iOS có thể chặn phần mềm bàn phím truy cập Internet bằng cách chọn Settings, General, Keyboards, chọn bàn phím rồi bỏ tùy chọn “Allow Full Access”.
Ngoài ra, từ phiên bản iOS 8, Apple đã bổ sung tính năng tự động chuyển về sử dụng bàn phím gốc khi người dùng nhập thông tin vào các trường được đánh dấu là mật khẩu/số thẻ tín dụng. Điều này không chỉ đúng với những phần mềm cài sẵn của Apple như Calendar, Mail, App Store mà còn xảy ra với những phần mềm của bên thứ 3 như Dropbox/Twitter và cả khi người dùng nhập dữ liệu vào các web form trong trình duyệt (đã thử nghiệm với Safari, Chrome,…). Lúc đó, nếu người dùng chạm vào biểu tượng quả địa cầu để chọn bàn phím thì sẽ chỉ thấy lựa chọn bàn phím gốc.
Với Android, chỉ có người dùng phiên bản 6.0 trở lên mới thay đổi được quyền của các ứng dụng (để huỷ quyền kết nối internet của các bàn phím thứ ba). Tuy nhiên, người dùng các phiên bản thấp hơn vẫn có hai lựa chọn, hoặc là dùng các phần mềm firewall hay VPN để ngăn chặn ứng dụng truy cập Internet. Các phần mềm như Mobiwol, NoRoot Data Firewall hay LostNet NoRoot Firewall không đòi hỏi quyền root, nên rất thích hợp cho mục đích này. Hoặc là dùng các phần mềm như Llama hay Tasker để tự động thay đổi bàn phím mỗi khi sử dụng các ứng dụng quan trọng như giao dịch ngân hàng. Llama có lợi thế là giao diện đơn giản, dễ dùng và không đòi hỏi quyền root.
Thạch Anh
tổng hợp
08:26 | 28/04/2017
14:00 | 08/03/2021
16:16 | 31/03/2017
15:24 | 06/03/2017
08:00 | 29/06/2020
14:00 | 11/04/2024
Hiện xu hướng tấn công mạng, đặc biệt là mã độc tống tiền (ransomware) tăng cao, những hành vi lừa đảo chiếm đoạt tài sản trên mạng diễn ra ngày càng phức tạp. Chuyên gia bảo mật và an toàn thông tin khuyến cáo từng cá nhân, tổ chức, doanh nghiệp phải dựng hàng rào bảo vệ chủ động, chứ không để "mất bò mới lo làm chuồng".
08:00 | 09/04/2024
Sáng ngày 08/4, tại Hà Nội đã diễn ra Hội nghị thượng đỉnh về Công nghệ thông tin và Nguồn mở châu Á - FOSSASIA Summit 2024. Sự kiện năm nay sẽ diễn ra trong ba ngày 08-10/4 và được tổ chức bởi FOSSASIA, Hiệp hội Internet Việt Nam (VIA), Học viện Công nghệ Bưu chính Viễn thông và Câu lạc bộ phần mềm tự do nguồn mở Việt Nam (VFOSSA).
07:00 | 15/02/2024
Theo thống kê của mạng lưới an ninh Kaspersky Security Network (KSN), số lượng người dùng Việt Nam bị ảnh hưởng bởi các mối đe dọa ngoại tuyến giảm đến 57% trong 4 năm qua. Tuy nhiên, con số này vẫn dẫn đầu khu vực Đông Nam Á.
07:00 | 18/01/2024
Cơ quan An ninh mạng và Cơ sở hạ tầng của Mỹ (CISA) đã thêm hai lỗ hổng vào Danh sách các lỗ hổng bị khai thác đã biết (KEV), bao gồm lỗ hổng CVE-2023-7024 được vá gần đây trong Google Chrome và lỗ hổng CVE-2023-7101 ảnh hưởng đến thư viện Perl nguồn mở để đọc thông tin trong tệp Excel có tên Spreadsheet::ParseExcel.
Chiều 17/4, tại Hà Nội diễn ra Lễ công bố quyết định và trao tặng Bằng khen của Viện trưởng Viện Kiểm sát nhân dân tối cao đối với tập thể, cá nhân Cục Cơ yếu Đảng - Chính quyền (Ban Cơ yếu Chính phủ), vì đã có thành tích xuất sắc trong việc xây dựng Quy chế phối hợp giữa Viện Kiểm sát nhân dân tối cao và Ban Cơ yếu Chính phủ.
16:00 | 19/04/2024
Hướng tới kỷ niệm 80 năm Ngày truyền thống ngành Cơ yếu Việt Nam (12/9/1945 - 12/9/2025), Ban Cơ yếu Chính phủ đã ban hành Kế hoạch phát động Cuộc thi sáng tác nghệ thuật thơ, ca khúc về Ngành Cơ yếu Việt Nam.
10:00 | 16/04/2024
Theo báo cáo của Financial Times, Google đang phát triển các tính năng nâng cao hỗ trợ bởi trí tuệ nhân tạo (AI) trong dịch vụ tìm kiếm của hãng. Tuy nhiên, để trải nghiệm tính năng này, người dùng sẽ phải trả thêm một khoản phí.
09:00 | 19/04/2024