Tóm tắt nhanh – Những điểm chính
- Phân tích 25.000 ứng dụng Android hàng đầu
- 14,79% ứng dụng tồn tại ít nhất một lỗ hổng có tác động cao
- Hơn 50% ứng dụng sử dụng thư viện có CVE mức độ nghiêm trọng cao đã được công bố
Trước khi bước sang năm mới và tổng kết các phát hiện trong năm 2025, chúng tôi đã nhìn lại tập dữ liệu gồm 25.000 ứng dụng Android hàng đầu thuộc nhiều danh mục khác nhau. Tập dữ liệu này đại diện cho các xu hướng của hệ sinh thái ứng dụng trong giai đoạn 2020-2024.
Mặc dù phân tích này chỉ trình bày dữ liệu từ ứng dụng Android, các ứng dụng iOS cũng cho thấy những thực hành bảo mật tương tự. Chúng tôi sẽ công bố thêm các nghiên cứu tiếp theo, bao gồm cả iOS, trong thời gian tới.
Phương pháp phân tích
25.000 ứng dụng Android được phân tích bằng nền tảng Mobile App Risk Intelligence của Quokka. Mỗi lần phân tích bao gồm:
- Phân tích bảo mật dựa trên mẫu và luồng dữ liệu
- Phát hiện cấu hình sai
- Phân tích hành vi, bao gồm lộ PII và rò rỉ dữ liệu
- Phân tích chuỗi cung ứng và các thư viện phụ thuộc
Các rủi ro hàng đầu về lộ dữ liệu và logic ứng dụng
Trong số 25.000 ứng dụng được phân tích, 14,79% chứa ít nhất một lỗ hổng có tác động cao. Các vấn đề phổ biến nhất bao gồm từ việc vô tình làm lộ thông tin cá nhân đến các thực hành giải tuần tự hóa nguy hiểm, có thể cho phép kẻ tấn công thực thi mã tùy ý.
| Loại phát hiện | Số ứng dụng bị ảnh hưởng | Tỷ lệ |
| Khả năng lộ PII | 1.544 | 6,18% |
| Lạm dụng SharedPreferences từ nguồn bên ngoài | 839 | 3,36% |
| Intent extras không an toàn | 797 | 3,19% |
| Khả năng rò rỉ dữ liệu mã hóa dạng plaintext | 796 | 3,18% |
| Giải tuần tự hóa không an toàn | 475 | 1,90% |
| Khả năng rò rỉ thông tin xác thực | 367 | 1,47% |
Chúng tôi cũng phân tích theo danh mục trên cửa hàng ứng dụng, tập trung vào các danh mục có hơn 300 ứng dụng được phân tích và có tỷ lệ ứng dụng chứa ít nhất một vấn đề bảo mật cao nhất.
| Danh mục | Ứng dụng có ít nhất một phát hiện | Tỷ lệ |
| Y tế | 154 | 38,60% |
| Giao tiếp | 263 | 37,36% |
| Doanh nghiệp | 388 | 35,76% |
| Công cụ | 1.198 | 32,82% |
| Sách & Tài liệu tham khảo | 133 | 32,76% |
| Năng suất | 422 | 32,61% |
| Tài chính | 481 | 23,35% |
Lộ PII (Thông tin nhận dạng cá nhân)
Định nghĩa: Dữ liệu có thể nhận dạng cá nhân bị đưa ra ngoài phạm vi tin cậy của ứng dụng.
Tác động: Vi phạm quyền riêng tư, rủi ro tuân thủ và nguy cơ bị lạm dụng có chủ đích. Các ứng dụng xử lý dữ liệu nhạy cảm như y tế hoặc tài chính có mức độ rủi ro cao hơn. Trong số 399 ứng dụng y tế được phân tích, 26 ứng dụng (6,52%) bị gắn cờ. Trong số 2.060 ứng dụng tài chính, 106 ứng dụng (5,15%) bị phát hiện vấn đề này.
Kiểm soát SharedPreferences từ nguồn bên ngoài
Định nghĩa: Dữ liệu đầu vào bên ngoài được sử dụng mà không được kiểm tra hoặc làm sạch để thiết lập khóa hoặc giá trị trong SharedPreferences.
Tác động: Tạo ra lỗ hổng bảo mật, hành vi ứng dụng không mong muốn, hoặc bị chiếm quyền điều khiển cấu hình ứng dụng.
Intent extras không an toàn
Định nghĩa: Dữ liệu đầu vào bên ngoài được sử dụng để thiết lập các trường hoặc extras của Intent.
Tác động: Nhầm lẫn đặc quyền, can thiệp dữ liệu hoặc kích hoạt hành vi ngoài dự kiến của các thành phần trong ứng dụng.
Rò rỉ dữ liệu mã hóa dạng plaintext
Định nghĩa: Dữ liệu dạng văn bản thuần được ghi log hoặc truyền đi mà không được mã hóa.
Tác động: Có thể bị chặn và khôi phục bởi kẻ tấn công.
Giải tuần tự hóa không an toàn
Định nghĩa: Ứng dụng sử dụng dữ liệu không đáng tin cậy để giải tuần tự hóa đối tượng, cho phép kẻ tấn công thao túng đối tượng và chèn mã hoặc dữ liệu độc hại.
Tác động: Thực thi mã tùy ý hoặc gây từ chối dịch vụ.
Rò rỉ thông tin xác thực
Định nghĩa: Các bí mật như token hoặc mật khẩu có thể bị lộ thông qua log hoặc file.
Tác động: Nguy cơ chiếm quyền tài khoản và rò rỉ dữ liệu nhạy cảm hoặc PII.
Rủi ro chuỗi cung ứng: CVE mức Cao và Nghiêm trọng
| Loại phát hiện | Ứng dụng bị ảnh hưởng | Tỷ lệ |
| Thư viện nhúng có CVE mức Cao | 12.916 | 51,82% |
| Thư viện nhúng có CVE mức Nghiêm trọng | 4.380 | 17,57% |
Những phát hiện này cho thấy một bức tranh rủi ro nghiêm trọng, nơi các thư viện chưa được vá lỗi trở thành điểm xâm nhập dễ bị khai thác. Tỷ lệ cao các phụ thuộc dễ tổn thương nhấn mạnh nhu cầu cấp thiết về quản lý và khắc phục rủi ro chuỗi cung ứng phần mềm.
Thư viện nhúng có CVE mức Cao
Định nghĩa: Ứng dụng chứa thư viện bên thứ ba có lỗ hổng mức độ cao (CVSS từ 7.0 đến 8.9).
Tác động: Xâm phạm quyền riêng tư người dùng, tính toàn vẹn dữ liệu hoặc luồng xác thực. Các phụ thuộc chưa được vá thường bị nhắm đến vì điểm khai thác đã được công khai.
Thư viện nhúng có CVE mức Nghiêm trọng
Định nghĩa: Ứng dụng chứa thành phần bên thứ ba có lỗ hổng mức nghiêm trọng (CVSS từ 9.0 đến 10.0).
Tác động: Khả năng bị khai thác rất cao, có thể dẫn đến chiếm quyền thiết bị hoặc tài khoản. Các thư viện này cần được vá hoặc nâng cấp khẩn cấp.
Vì sao các vấn đề này vẫn tồn tại?
Những rủi ro trên thường xuất phát từ:
- Chu kỳ phát triển nhanh, ưu tiên tính năng hơn bảo mật
- Phụ thuộc vào SDK hoặc thư viện bên thứ ba để tiết kiệm thời gian nhưng vô tình đưa rủi ro vào ứng dụng
- Hệ sinh thái di động phức tạp với nhiều nền tảng, phiên bản hệ điều hành và thiết bị khác nhau
Thực hành tốt nhất để giảm rủi ro ứng dụng di động
1. Siết chặt bảo mật mạng
- Bắt buộc xác thực chứng chỉ TLS
- Chặn truy cập khi xác thực thất bại
- Áp dụng certificate pinning khi cần thiết
2. Ngăn chặn rò rỉ dữ liệu âm thầm
- Loại bỏ log chi tiết trước khi phát hành
- Mã hóa dữ liệu nhạy cảm khi lưu trữ
3. Xem phụ thuộc như mã nguồn
- Tạo SBOM ở cấp nhị phân
- Vá các CVE mức Cao và Nghiêm trọng trước khi phát hành
4. Áp dụng bảo vệ theo ngữ cảnh
- Thêm cơ chế bảo vệ runtime và xác thực thiết bị cho các luồng nhạy cảm như thanh toán hoặc khôi phục tài khoản
5. Quét và kiểm thử trước khi phát hành
- Quét lại mỗi bản build trước khi đưa lên cửa hàng ứng dụng
Quokka hỗ trợ giảm rủi ro ứng dụng di động như thế nào
Quokka phân tích chính xác gói cài đặt mà người dùng thực sự tải về, bất kể việc làm rối mã nguồn trong quá trình build hay runtime. Nhờ đó, các lỗi truyền tải dữ liệu, log dư thừa, giao tiếp liên tiến trình rủi ro và những sai sót tương tự được phát hiện rõ ràng thay vì bị che giấu bởi script build.
Đối với ứng dụng bạn phát hành
Q-mast được thiết kế cho đội ngũ phát triển, tích hợp bảo mật trực tiếp vào quy trình làm việc để phát hiện rủi ro bảo mật, quyền riêng tư và tuân thủ trước khi ứng dụng được phát hành. Với định hướng DevSecOps, Q-mast hỗ trợ kiểm thử bảo mật tự động và liên tục, tích hợp với Jenkins, GitLab và GitHub.
Năng lực của Q-mast bao gồm:
- Quét tự động trong vài phút, không cần mã nguồn
- Phân tích file nhị phân đã biên dịch, kể cả khi có làm rối mã
- Tạo và phân tích SBOM chính xác đến từng phiên bản thư viện nhúng
- Phân tích toàn diện SAST, DAST, IAST và thực thi luồng cưỡng bức
- Phát hiện hành vi độc hại, bao gồm thông đồng giữa các ứng dụng
- Đối chiếu với các tiêu chuẩn bảo mật và quyền riêng tư: NIAP, NIST, MASVS
Đối với ứng dụng nhân viên sử dụng
Trên hệ thống thiết bị được quản lý bởi MDM, Q-scout phân tích các ứng dụng đang được sử dụng và gắn cờ hành vi rủi ro trước khi trở thành sự cố. Công cụ này cung cấp bằng chứng cần thiết để phê duyệt hoặc chặn ứng dụng, đảm bảo tuân thủ, bảo vệ quyền riêng tư và tài sản tổ chức trước các mối đe dọa di động.
Unitas cam kết đồng hành cùng doanh nghiệp, cung cấp các giải pháp và phân tích an ninh mạng tiên tiến nhất. Để nhận được tư vấn chuyên sâu hoặc hỗ trợ nhanh chóng, vui lòng liên hệ với chúng tôi qua email: info@unitas.vn hoặc Hotline: (+84) 939 586 168.
