• (+84) 939 586 168
  • info@unitas.vn
  • (+84) 939 586 168
  • info@unitas.vn
  • Bài viết
  • Những phát hiện chính trong báo cáo “Tình trạng bảo mật ứng dụng di động năm 2026” của Quokka
May 12, 2026

Những phát hiện chính trong báo cáo “Tình trạng bảo mật ứng dụng di động năm 2026” của Quokka

Những điểm chính:

  • Dữ liệu của Quokka cho thấy lỗ hổng bảo mật trong ứng dụng di động xuất hiện rất phổ biến
  • Các vấn đề đã biết như mã hóa yếu vẫn chiếm phần lớn rủi ro ứng dụng
  • Các thư viện/phụ thuộc bên thứ ba tạo ra những lỗ hổng nghiêm trọng khó phát hiện

Ứng dụng di động đang âm thầm trở thành một trong những bề mặt tấn công lớn nhất nhưng cũng ít được hiểu rõ nhất trong doanh nghiệp. Chúng xử lý xác thực người dùng, truyền tải dữ liệu nhạy cảm và kết nối trực tiếp với hệ thống nội bộ. Nhiều tổ chức mặc định rằng ứng dụng trên các kho chính thức đều đạt mức bảo mật cơ bản. Nhưng dữ liệu cho thấy điều ngược lại.

Trong nghiên cứu bảo mật di động mới nhất của chúng tôi, dựa trên phân tích hơn 150.000 ứng dụng di động, chúng tôi phát hiện rằng các vấn đề bảo mật cơ bản không phải là trường hợp hiếm gặp — mà là tình trạng phổ biến.

Lỗ hổng bảo mật ứng dụng di động phổ biến đến mức nào?

Đây không phải là các trường hợp cá biệt chỉ xuất hiện ở những ứng dụng đáng ngờ từ các nhà phát triển vô danh. Chúng phổ biến trên nhiều danh mục và nền tảng khác nhau. Một số số liệu nổi bật gồm:

  • 94,3% ứng dụng Android truyền dữ liệu qua HTTP không được mã hóa
  • Hơn 50 ứng dụng chứa thông tin xác thực AWS được hardcode trực tiếp
  • CVE nghiêm trọng trong các thành phần bên thứ ba được tìm thấy ở 11% ứng dụng Android và 13% ứng dụng iOS

Các lỗ hổng cũ vẫn tiếp tục xuất hiện trong ứng dụng di động

Lưu lượng HTTP không mã hóa là một vấn đề bảo mật ở mức cơ bản, vậy mà nó vẫn xuất hiện trong phần lớn các ứng dụng di động mà chúng tôi phân tích. Các lỗi mã hóa cũng rất phổ biến. Chế độ mã hóa lỗi thời, khóa mã hóa hardcode và các thuật toán yếu đã bị loại bỏ từ nhiều năm trước vẫn còn xuất hiện trong các ứng dụng xử lý xác thực, thanh toán và dữ liệu y tế.

Trong một số trường hợp, các ứng dụng sử dụng cấu hình mã hóa đã bị cấm rõ ràng trong các hướng dẫn bảo mật từ hơn một thập kỷ trước.

Vấn đề phụ thuộc bên thứ ba nghiêm trọng hơn tưởng tượng

Một trong những phát hiện đáng chú ý nhất trong phân tích bảo mật năm nay đến từ việc kiểm tra các thư viện phụ thuộc bên thứ ba. Khi chúng tôi tạo SBOM (Software Bill of Materials) cho từng ứng dụng, kết quả cho thấy 65% ứng dụng Android chứa các CVE mức độ nghiêm trọng cao — và một số lỗ hổng vẫn đang tồn tại đã được công bố từ năm 2009.

Tình hình trên iOS có khác nhưng không hề tốt hơn. Các CVE nghiêm trọng trên iOS tập trung ở những lỗ hổng mới hơn, với hàng nghìn ứng dụng chứa các lỗ hổng được phát hiện lần đầu vào năm 2023 và 2024. Tốc độ cập nhật nhanh vừa là lợi thế vừa là rủi ro: ứng dụng mới cũng có thể mang theo các lỗ hổng mới chưa được vá.

Khi “ít gặp” vẫn có thể dẫn đến thảm họa

Một số phát hiện đáng báo động nhất lại không phải những lỗi phổ biến nhất. Chúng tôi xác định được hơn 50 ứng dụng di động chứa thông tin xác thực AWS được hardcode trực tiếp trong file biên dịch.

Tỷ lệ xuất hiện có thể thấp. Nhưng mức độ ảnh hưởng thì không.

Một khóa truy cập cloud bị lộ trong ứng dụng di động không phải là rủi ro lý thuyết. Kẻ tấn công có thể truy cập cơ sở dữ liệu sản xuất, dữ liệu khách hàng, và trong trường hợp nghiêm trọng nhất, chiếm quyền root toàn bộ hạ tầng cloud của tổ chức. Chỉ cần một ứng dụng mắc lỗi này cũng đã là quá nhiều.

Vì sao các vấn đề bảo mật ứng dụng di động vẫn tồn tại?

Báo cáo đầy đủ của chúng tôi phân tích sâu hơn về những nguyên nhân mang tính cấu trúc khiến các lỗ hổng di động tiếp tục tồn tại qua nhiều năm, bao gồm:

  • Hạn chế trong đào tạo lập trình viên
  • Sự tích tụ của mã nguồn cũ (legacy code)
  • Giới hạn của quy trình kiểm duyệt trên các kho ứng dụng

Các phát hiện này chỉ ra những thay đổi cụ thể và có thể triển khai ngay mà cả đội ngũ phát triển lẫn bộ phận an ninh doanh nghiệp nên áp dụng.

Đọc báo cáo đầy đủ năm 2026

Bản phân tích đầy đủ bao gồm:

  • Các lỗ hổng nghiêm trọng phổ biến
  • Phân tích chi tiết theo từng nền tảng
  • Kết quả SBOM
  • Hướng dẫn thực hành tốt nhất về bảo mật ứng dụng di động dành cho lập trình viên và đội ngũ an ninh doanh nghiệp

Unitas cam kết đồng hành cùng doanh nghiệp, cung cấp các giải pháp và phân tích an ninh mạng tiên tiến nhất. Để nhận được tư vấn chuyên sâu hoặc hỗ trợ nhanh chóng, vui lòng liên hệ với chúng tôi qua:

Email: info@unitas.vn

Hotline: (+84) 939 586 168

Fanpage Unitas Vietnam

Linkedin Unitas Vietnam

TIN TỨC TRƯỚC Quản lý Rủi ro An ninh mạng trong Chuỗi cung ứng: Hướng dẫn dành cho CISO về Khả năng vận hành bền vững

Tin tức mới nhất

Tags

Danh mục

Lưu trữ

Post: Những phát hiện chính trong báo cáo “Tình trạng bảo mật ứng dụng di động năm 2026” của Quokka

Post: Những phát hiện chính trong báo cáo “Tình trạng bảo mật ứng dụng di động năm 2026” của Quokka

Post: Những phát hiện chính trong báo cáo “Tình trạng bảo mật ứng dụng di động năm 2026” của Quokka

Unitas Việt Nam

Trụ sở Hồ Chí Minh

  • 97-99-101 Nguyễn Công Trứ, P. Sài Gòn, TP. Hồ Chí Minh.
  • (+84) 939 586 168
  • info@unitas.vn

Chi nhánh Hà Nội

  • Tầng 5, số 17, Ngõ 167 Tây Sơn, P. Kim Liên, TP. Hà Nội
  • (+84) 939 586 168
  • info@unitas.vn

Các liên kiết

Bản quyền © 2025 bởi Unitas Việt Nam.