Đến thời điểm này, top 20 quốc gia bị ảnh hưởng nhiều nhất bao gồm: Nga Ukraine, Ấn Độ, Đài Loan, Tajkistan, Kazakhstan, Luxembour, Trung Quốc, Romania, Việt Nam v.v. Những ghi nhận này có thể bị hạn chế và có thể chưa thể hiện được bức tranh toàn cảnh, số lượng thực tế có thể cao hơn.
Google và cuộc chiến vất vả chống malware trên Android
- Cập nhật : 05/05/2017
99% malware trên di đông nhằm vào hệ điều hành Android của Google, và tính mở của hệ điều hành này đã khiến hãng tìm kiếm phải đau đầu với vấn đề bảo mật trong thời gian qua.
Nếu như trước đây khi nói tới malware, chúng ta đều nghĩ rằng chúng là những phần mềm gây hại cho máy tính; thì giờ đây, các thiết bị di động mà chủ yếu là smartphone cũng trở thành đối tượng của malware. Số lượng phần mềm độc hại được thiết kế để tấn công người dùng di động ngày càng tăng lên với nhiều thủ đoạn cũng ngày càng tinh vi, phức tạp.
Malware tấn công smartphone chủ yếu thông qua ứng dụng. Chúng giả dạng là những ứng dụng an toàn, vô hại nhưng thực tế đang tìm cách ăn cắp dữ liệu, hay trong trường hợp của ransomware, là khóa dữ liệu rồi đòi tiền chuộc từ người dùng. Cả iOS và Android đều là mục tiêu của hacker, thế nhưng, các dữ liệu cho thấy malware trên Android phổ biến hơn rất nhiều so với iOS. Một báo cáo mới đây của hãng bảo mật F-Secure cho thấy, 99% malware nhằm vào thiết bị di động được thiết kế để tấn công vào Android.
Đây cũng không phải là điều gì đó quá ngạc nhiên, khi Android có thị phần lớn hơn iOS, đồng thời iOS là hệ điều hành kiểu "khép kín" nên malware khó thâm nhập hơn trong khi ngược lại, Android là một nền tảng mở. Người dùng iOS chủ yếu tải ứng dụng về từ app store của chính Apple, còn người dùng Android có thể tải ứng dụng về từ cả Play Store lẫn các nguồn ngoài. Đó là chưa kể ngay cả Play Store cũng không an toàn, rất dễ bị ứng dụng độc hại qua mặt. Đó là lý do vì sao trong những tháng gần đây, chúng ta được đọc nhiều bài viết về việc hàng loạt malware ngang nhiên vượt qua sự kiểm soát của Google để có mặt trên kho ứng dụng này.
Chúng ta có thể kể ra một vài ví dụ: Theo phát hiện của hãng Check Point hồi cuối tháng 1/2017, một ransomware có tên Charger nghiễm nhiên có mặt trên Play Store mà Google không hay biết; hay hồi tháng 3/2017, adware mang tên Skinner cũng bị phát hiện tồn tại trên Play Store trong thời gian dài. Có trường hợp, một loại malware lừa để ăn cắp tài khoản Instagram của người dùng đã có tới 1,5 triệu lượt tải về, cho thấy rất nhiều người đã trở thành nạn nhân của nó.
Một ví dụ khác là các trojan hiển thị quảng cáo trên màn hình. Bằng một cách nào đó, chúng có mặt trên Play Store và đòi người dùng phải cho đánh giá "5 sao" mới dừng hiện các pop-up khó chịu. Đây là việc làm bị Google "cấm cửa" - theo chính sách dành cho lập trình viên Google Play - nhưng hãng tìm kiếm chỉ gỡ bỏ các ứng dụng này sau khi được các nhà nghiên cứu bảo mật thông báo cho.
Vì sao malware vẫn hoành hành trên Google Play?
Quá trình xét duyệt của Google để chấp thuận một ứng dụng được phép có mặt trên Play Store hay không, được đánh giá là không nghiêm ngặt như cách Apple làm với ứng dụng iOS. Điều này cho phép gần như lập trình viên nào cũng có thể viết và tải ứng dụng của mình lên Play Store - miễn là họ trả khoản phí 25 USD để đăng ký tài khoản Google Play Developer. Với Apple, các nhà phát triển muốn gửi ứng dụng lên App Store phải trải qua một quá trình đăng ký khắt khe và phải tuân thủ quy trình rà soát nghiêm ngặt.
Triết lý mã nguồn mở của Google có vẻ là rất tốt về mặt nguyên tắc - khi mà bất kỳ ai cũng có thể chia sẻ ứng dụng của mình qua một kho app mở. Tuy nhiên, nó cũng là con dao 2 lưỡi khi Play Store trở thành miếng mồi ngon của tội phạm mạng bởi chúng có thể dễ dàng phát tán ứng dụng độc hại lên đó - điều rất khó để làm trên App Store. Và điều này đồng nghĩa với việc, hacker dễ dàng tấn công người dùng Android hơn so với tấn công người dùng iPhone.
"Rất khó để ứng dụng của bạn được quyền gửi SMS trên iOS, tuy nhiên trên Android thì dễ dàng hơn nhiều. Đó là lý do vì sao trên Android có rất nhiều các malware ăn cắp tiền từ SMS, gây ra các vấn đề lớn cho Android" - Dioniso Zumerle, Giám đốc nghiên cứu về Bảo mật di động của Gartner, cho biết, ám chỉ tới các malware trojan ăn cắp dữ liệu người dùng.
"Tính mở của Android vừa mang lại nhiều lợi ích cho người dùng, nhưng cũng gây ra các vấn đề bảo mật" - Zumerle nói thêm.
Google đã áp dụng một số biện pháp kiểm tra bảo mật đối với các ứng dụng mới gửi lên. Một người đại diện hãng tìm kiếm chia sẻ rằng, các ứng dụng được gửi lên Google Play "được quét tự động để phát hiện các mã có nguy cơ độc hại cũng như các tài khoản lập trình viên có ý định lừa đảo". Google cũng nói về một quy trình mang tên "đánh giá chủ động" (proactive review) được thiết kế để chặn các lập trình viên vi phạm chính sách trong thời gian sớm nhất có thể. Hãng tìm kiếm cũng tranh thủ quảng bá rằng, bảo mật trên Android đang ngày càng được cải thiện. Theo đánh giá của chính Google, chỉ 0,05% người dùng tải ứng dụng từ Play Store bị ảnh hưởng bởi malware, giảm so với con số 0,15% của năm 2016.
Vậy vì sao ứng dụng độc hại vẫn lọt được lên Play Store? Một lý do chính là bởi tội phạm mạng đang ngày càng thông minh hơn. Chúng luôn tìm được những cách thức mới để qua mặt các kiểm tra bảo mật. "Những kẻ phát tán malware lên Google Play xem đó là một nghề kiếm sống, và nếu không phát tán thành công, chúng sẽ không kiếm được tiền để nuôi sống mình. Chúng có động lực lớn để làm việc và chỉ cần Google phạm một lỗi nhỏ là đã bị lợi dụng" - Mike Murray, lãnh đạo của hãng bảo mật Lookout, chia sẻ.
Rất nhiều tội phạm mạng tìm cách tấn công người dùng qua ứng dụng gửi lên app store, tuy nhiên, chúng bị phát hiện ngay trước khi có người dùng tải về. Riêng Lookout trong 2016 đã giúp Google loại bỏ 260 malware - trong "sứ mệnh" của công ty là giúp internet được an toàn hơn.
Giống với Google, Lookout sử dụng máy học để đánh giá nhằm phát hiện các ứng dụng độc hại trên Google Play. Điểm khác là hãng thực hiện hoạt động của mình sau khi các ứng dụng có mặt trên Google Play để sẵn sàng cho người dùng tải về. Google, trong khi đó, quét ứng dụng khi chúng được lập trình viên gửi lên, do đó, hacker phải ẩn các mã độc hại của chúng sâu bên trong ứng dụng và chỉ kích hoạt nó sau khi nó đã được Google duyệt để cho phép có mặt trên Google Play.
"Khi Google quét các ứng dụng này, họ không tìm thấy thành phần độc hại, không một mã nguy hiểm nào trong ứng dụng được tải lên Google Play. Tuy nhiên, tội phạm mạng có thể dễ dàng che đậy các phần có chức năng download thêm các thành phần khác cũng như tạo ra các công cụ hẹn giờ kích hoạt mã độc để qua mặt Google" - Daniel Padon, chuyên gia của Check Point, nhận định. Viking Hoarde, malware giả danh một tựa game nổi tiếng được hàng chục ngàn người tải về, đã dùng kỹ thuật này để "trú ẩn" trên Play Store nhiều tuần liền, Padon cho biết.
Trong một nỗ lực để khắc phục điểm yếu đó, Google đã phát triển tính năng "Verify Apps", công cụ dành cho các thiết bị Android nhằm cảnh báo người dùng về các ứng dụng có nguy cơ gây hại. Tuy nhiên, công cụ này không quá phổ biến và thường chỉ được dùng bởi những người đã có kinh nghiệm phòng chống malware thay vì những người dùng thông thường. Với phiên bản Android mới nhất - Android 7.0 Nougat - Google tích hợp các tính năng giúp bảo vệ người dùng khỏi một số nguy cơ ransomware phổ biến. Tuy nhiên, khi mà Android hiện nay vẫn còn quá phân mảnh, chỉ có 3% người dùng được hưởng lợi từ các tính năng này mà thôi.
Vậy Google có thể làm gì khác để Play Store được an toàn? Với các ứng dụng độc hại đã lọt qua vòng kiểm duyệt và có mặt trên chợ ứng dụng này, Check Point gợi ý hãng tìm kiếm sử dụng một trong những cách mà mình đang làm: dựa vào phản hồi, bình luận của người dùng để xác định ứng dụng độc hại. "Hầu hết các malware đều bị người dùng chỉ trích gay gắt ở phần bình luận, và đây là những người đã tải chúng về và ngay sau đó nhận ra mình bị lừa đảo. Nếu bạn đọc bình luận của người dùng, bạn có thể dễ dàng biết chuyện gì đang xảy ra" - Padon cho biết.
Bằng cách phân tích loại thông tin này, cùng các dữ liệu khác, với các thuật toán máy học, Lookout đã giúp Google gỡ bỏ được hàng loạt malware trong thời gian qua. "Máy học của chúng tôi được điều chỉnh, do đó, bất cứ khi nào có được thông tin mới từ Google Play, và đến lúc đạt tới một ngưỡng nào đó, máy học tự động chuyển thông tin đến người có nhiệm vụ kiểm tra ứng dụng để cảnh báo" - Murray cho biết. Ông nói thêm rằng, các phần mềm chính thống cũng dùng công nghệ của Lookout để chặn ứng dụng độc hại trước khi chúng thâm nhập vào. Trong khi đó, giới bảo mật khen ngợi Google và cho rằng hãng đang đi đúng hướng khi phối hợp với các công ty bảo mật và đưa ra các giải thưởng dành cho những người phát hiện ra lỗi trên Android.
"Google đã nghiêm túc hơn với vấn đề bảo mật, thể hiện qua những sự cải tiến trong thời gian qua. Họ bắt đầu hợp tác với công ty bảo mật, đồng thời phát triển các công cụ bảo vệ. Dù vậy, công ty vẫn còn nhiều việc phải làm" - chuyên gia Padon của Check Point cho biết.
Đây là điều cần thiết bởi tội phạm mạng, như đã nói, luôn tìm kiếm những lỗ hổng an ninh mới để khai thác vào. "Không bao giờ có chuyện chỉ cần một lớp bảo vệ là đã đủ an toàn" - Murray nhận xét.
Theo ICTNews