Nhiều rủi ro về bảo mật cho thiết bị iOS và Android

Thiết bị di động thông minh phát triển nhanh chóng đang đem lại nỗi lo về mất an toàn thông tin cho các mạng doanh nghiệp.

Chỉ trong vài năm trở lại đây, Apple đã bán được gần 100 triệu thiết bị di động sử dụng hệ điều hành iOS, bao gồm điện thoại iPhone và máy tính bảng iPad. Về phía Google, vào tháng 6/2011, nhà khổng lồ Internet cho biết hiện mỗi ngày có hơn nửa triệu thiết bị Android được kích hoạt.

Smartphone và máy tính bảng không chỉ để thực hiện các cuộc đàm thoại và ghi chép thông thường, mà còn được dùng chúng rất nhiều trong công việc với vai trò là những thiết bị đầu cuối trên các mạng doanh nghiệp. Đó là lý do khiến ngày càng gia tăng nỗi lo về những rủi ro mà các thiết bị này có thể đem đến cho thông tin của doanh nghiệp.

Về vấn đề này, Symantec đã phát hành Sách trắng có tiêu đề "Một góc nhìn về bảo mật thiết bị di động" (A Window into Mobile Device Security). Bản báo cáo dài 23 trang của Symantec phân tích chi tiết các mô hình bảo mật được sử dụng bởi cả hai nền tảng iOS của Apple và Android của Google, giúp bạn hiểu những rủi ro về bảo mật khi triển khai các thiết bị này trong hoạt động doanh nghiệp. Symantec đánh giá hiệu quả của mỗi nền tảng trong việc bảo vệ chống lại các mối đe dọa chủ yếu hiện nay, đó là: việc lạm dụng các nguồn tài nguyên và dịch vụ dựa trên Web; nguy cơ mất dữ liệu do vô ý hoặc bị kẻ xấu có chủ tâm khai thác; và các cuộc tấn công vào sự toàn vẹn của dữ liệu trên thiết bị.

Trong khi các nhà phát hành vẫn cam đoan với người dùng về tính an toàn của những hệ điều hành di động này, nhưng thực tế, các thiết bị chạy iOS và Android vẫn dễ bị tổn thương trước nhiều kiểu tấn công. Mặc dù chúng ta vẫn thường gọi đây là những chiếc điện thoại, chúng thực sự đã là những cỗ máy tính có khả năng xử lý mạnh mẽ và cũng dễ bị tổn thương và có những vấn đề giống như với máy tính truyền thống.

Ví dụ, bạn đã bao giờ hình dung tới tình huống chiếc smartphone của mình cũng có thể trở thành một nút trên một mạng máy tính ma (botnet) chưa? Điều đó là hoàn toàn có thể, và khi đó smartphone của bạn có thể được sử dụng để chuyển tiếp thư rác hoặc tham gia trong một cuộc tấn công DdoS.

Symantec cho chúng ta biết rằng mô hình bảo mật của iOS cung cấp khả năng bảo vệ mạnh mẽ chống lại phần mềm độc hại truyền thống, nhờ vào việc Apple lọc các dịch vụ web và áp dụng các quy trình cấp phép chặt chẽ cho các nhà phát triển và ứng dụng do họ cung cấp. Dù kho ứng dụng “đồ sộ” với hơn 300.000 ứng dụng cho iPhone và 60.000 ứng dụng iPad, Apple vẫn nỗ lực rà soát danh tính của từng tác giả phần mềm để loại bỏ các lập trình viên có ác tâm. Trong khi đó, Google lại thoải mái chấp nhận các ứng dụng cho dù được phát hành bởi bất kỳ nhà phát triển phần mềm nào, mà không hề kiểm tra. Điều đó dẫn tới nguy cơ ngày càng gia tăng các phần mềm độc hại với nền tảng Android.

Với những ai hào hứng việc “jalbreak” thiết bị iOS cũng như root thiết bị Android để tự do cài đặt ứng dụng, càng làm trầm trọng thêm nguy cơ về bảo mật và rủi ro. Bởi vì bằng cách thức đó, người dùng đã tự mình tước bỏ khả năng tự vệ của thiết bị do các nhà sản xuất thiết lập, biến thiết bị di động của mình trở thành mục tiêu hấp dẫn cho những kẻ tấn công.

Mặc dù các hệ điều hành di động này đã được tích hợp bảo mật vào kiến trúc cơ sở của chúng, những rủi ro nêu trên càng rộng mở khi được sử dụng cho cả mục đích cá nhân lẫn cho công việc trong doanh nghiệp. Marc Fossi – Giám đốc nghiên cứu và phát triển Symantec Security Response, đã chỉ ra các thiết bị di động hiện nay đang ngày càng được dùng nhiều cho kết nối và đồng bộ với toàn bộ hệ sinh thái các dịch vụ dựa trên đám mây cũng như hệ thống để bàn của bên thứ ba, vượt ra ngoài sự kiểm soát của doanh nghiệp. Việc kết nối như vậy sẽ phơi bày các thông tin nhạy cảm của doanh nghiệp trên điện thoại làm gia tăng rủi ro; ví dụ như, danh sách địa chỉ email có thể bị khai thác, kết quả là nhận được cả đống thư rác mỗi ngày.

Một nguy cơ hiển hiện nữa với người dùng di động là các cuộc tấn công dùng kỹ nghệ xã hội (social engineering) để lừa đảo. Với những ai thường dùng smartphone để truy cập vào tất cả mọi thứ trên web, từ email đến các mạng xã hội, cũng sẽ dễ bị dính lừa đảo như khi dùng máy tính xách tay hay máy tính để bàn. Người dùng thường bị lừa để lộ ra chi tiết đăng nhập hoặc các thông tin nhạy cảm khác, hoặc bấm vào một đường liên kết dẫn đến bị cấy mã độc Trojan ngấm ngầm. Điều này cho phép tin tặc truy cập vào thiết bị và sau đó lẻn vào mạng của công ty một khi thiết bị được dùng để đồng bộ hóa các máy tính ở nhà và doanh nghiệp với nhau.

Lừa đảo phishing ảnh hưởng đến cả người tiêu dùng và người dùng doanh nghiệp. Trong cả hai trường hợp nâng cao nhận thức là điều cần thiết để ngăn chặn các hình thức tấn công. Như Fossi của Symantec đã chỉ rõ, "Bạn không thể “vá” con người để ngăn chặn lừa đảo".

Fossi nói rằng thực thi chính sách sẽ giúp bảo đảm an ninh di động tốt hơn. Trong chừng mực có thể, các tổ chức cần phải mở rộng chính sách mạng công ty của họ áp dụng cho cả các thiết bị thông minh. Một số công ty chọn cách thức khóa các thiết bị, giống như họ đang áp dụng cho máy tính xách tay và máy tính để bàn. Các công ty khác ít cứng nhắc hơn, cho phép linh hoạt sử dụng smartphone vì mục đích cá nhân và cho công việc.

Rõ ràng các thiết bị điện tử tiêu dùng cá nhân này đang ngày càng được dùng nhiều trong doanh nghiệp. Thách thức thực sự cho các công ty là tận dụng những khả năng sử dụng và năng suất mà các thiết bị này mang lại trong khi vẫn đảm bảo an ninh thông tin cho doanh nghiệp.