Phát hiện lỗ hổng lớn đe dọa quyền riêng tư của hàng triệu người đang dùng Iphone, Ipad

Theo MacRumors, nhà phát triển Kosta Elefherious vừa tiết lộ một lỗ hổng trên App Store, cho phép kẻ gian lợi dụng để lừa đảo người dùng iPhone, iPad hàng triệu USD. 

Trong những dòng tweet trên Twitter, Elefherious đã đề cập đến ứng dụng StringVPN (hỗ trợ quyền riêng tư), đứng ở vị trí 32 trong danh mục Utilities (tiện ích) của Apple. Nhà phát triển đã sử dụng hàng trăm đánh giá giả mạo để che đi những nhận xét, cảnh báo lừa đảo của những người dùng khác. Theo Elefherious, ứng dụng này đã thu về hơn 1 triệu USD/tháng. 

Và tất nhiên đây chỉ là phần nổi của tảng băng chìm. Ngoài ra còn có rất nhiều ứng dụng lừa đảo khác như TOR Browser Evil Onio‪n, Star Gazer+… sử dụng hàng trăm đánh giá giả mạo để lừa người dùng cài đặt, sau đó trừ tiền đăng ký (sau khi hết thời gian dùng thử) lên đến 8 USD/tuần cho các ứng dụng không có chức năng. 

Tuy nhiên vẫn còn rất nhiều những ứng dụng lừa đảo kể trên vẫn còn tồn tại trên App Store. Mà cụ thể ở đây, ứng dụng đó chính là fleeceware.  

Fleeceware là một thuật ngữ dùng để chỉ các ứng dụng lừa người dùng xài thử miễn phí trong vòng 3-7 ngày, sau thời gian đó, ứng dụng sẽ tự động đăng ký (trả phí) và trừ tiền vào thẻ tín dụng.

Nhiều người cho rằng việc gỡ cài đặt ứng dụng trước khi hết thời gian xài thử sẽ không bị trừ tiền, tuy nhiên điều này hoàn toàn sai lầm. Để không bị trừ tiền trong thẻ, bạn cần phải hủy đăng ký ứng dụng. Thế nhưng, nhiều nhà phát triển đã cố tình không thông báo cho người dùng về việc này.

Làm cách nào để các ứng dụng lừa đảo “qua mặt” thuật toán trên App Store? Theo Eleftheriou, không khó để sao chép một ứng dụng và trả tiền cho hàng trăm đánh giá 5 sao giả mạo, thậm chí việc có quá nhiều đánh giá tốt có thể giúp ứng dụng được Apple đưa vào danh sách đề xuất.

Eleftheriou cho biết đã liên hệ với Apple nhưng chưa nhận được câu trả lời.  

Trước đó, các nhà nghiên cứu bảo mật tại Avast cũng đã phát hiện 204 ứng dụng Fleeceware với hơn 1 tỉ lần tải xuống, kiếm được 400 triệu USD doanh thu thông qua App Store và Google Play.

Mục đích của những ứng dụng này là thu hút người dùng xài thử miễn phí trong vòng 3-7 ngày, sau thời gian đó, ứng dụng sẽ tự động đăng ký (trả phí) với mức giá đôi khi lên đến 3.432 USD/năm. Hiện tại Avast đã gửi báo cáo cho Apple và Google để họ xem xét vấn đề.

Các ứng dụng Fleeceware được phát hiện chủ yếu đều là những công cụ chỉnh sửa hình ảnh, bói toán, quét QR code, trình đọc PDF, tính toán… và tất nhiên là chúng không hề có một tính năng nào đáng để người dùng phải trả phí.

Vậy làm thế nào để tránh các ứng dụng Fleeceware?

Việc đăng ký ứng dụng (trả phí) tương đối đơn giản, do đó, người dùng phải thật sự cẩn trọng khi tải xuống bất kỳ ứng dụng nào trên Google Play hoặc App Store, đồng thời ghi nhớ một số nguyên tắc sau đây để tránh bị mất tiền oan uổng:

-  Hãy cẩn trọng với các ứng dụng cho phép dùng thử miễn phí từ 3-7 ngày, tất nhiên, nếu những chức năng mà ứng dụng cung cấp thật sự hữu ích, người dùng hoàn toàn có thể trả phí định kỳ cho nhà phát triển.

-  Đọc kỹ thông tin nhà phát triển và phần đánh giá của người dùng. Nếu phần nhận xét có xu hướng “nịnh bợ”, tâng bốc thái quá… bạn hãy cẩn trọng.

-  Nếu khoản phí đăng ký ứng dụng quá đắt, có thể sử dụng các phần mềm khác để thay thế.

-  Hãy đảm bảo các phương thức thanh toán được bảo vệ bằng mật khẩu hoặc vân tay, điều này sẽ hạn chế phần nào việc trẻ em đăng ký ứng dụng ngẫu nhiên.

Bảo Linh (t/h)