Tổng quan Lỗ hổng Nghiêm trọng trong Ứng dụng YONO SBI
Một lỗ hổng bảo mật nghiêm trọng đã được phát hiện trong ứng dụng ngân hàng và lối sống được sử dụng rộng rãi, YONO SBI: Banking & Lifestyle, có khả năng khiến hàng triệu người dùng đối mặt với các cuộc tấn công Man-in-the-Middle (MITM) và đặt dữ liệu tài chính nhạy cảm vào tình trạng rủi ro cao. Lỗ hổng này được định danh là CVE-2025-45080, và thông tin chi tiết có thể được tìm thấy tại NVD NIST.
Lỗ hổng ảnh hưởng đến phiên bản 1.23.36 của ứng dụng YONO SBI, được phát triển bởi Ngân hàng Nhà nước Ấn Độ (State Bank of India – SBI). Ứng dụng này đóng vai trò là một nền tảng ngân hàng kỹ thuật số cho một trong những lượng người dùng lớn nhất thế giới, khiến phạm vi tác động tiềm tàng trở nên rộng lớn.
Phân tích Kỹ thuật Lỗ hổng
Chi tiết CVE và Cấu hình Kém Bảo mật
Nghiên cứu bảo mật của Ishwar Kumar đã chỉ ra rằng ứng dụng YONO SBI được cấu hình để cho phép lưu lượng mạng văn bản rõ (cleartext network traffic). Điều này được thể hiện rõ ràng thông qua cài đặt android:usesCleartextTraffic=”true” trong tệp manifest của ứng dụng (AndroidManifest.xml).
Để hiểu rõ hơn về tác động của cài đặt này, cần phải nắm được sự khác biệt cơ bản giữa giao thức HTTP và HTTPS. HTTP (Hypertext Transfer Protocol) là giao thức cơ bản để truyền dữ liệu trên World Wide Web nhưng không cung cấp mã hóa. Điều này có nghĩa là bất kỳ dữ liệu nào được gửi hoặc nhận qua HTTP đều ở dạng “văn bản rõ” (cleartext) và có thể dễ dàng bị đọc bởi bất kỳ ai chặn được lưu lượng mạng. Ngược lại, HTTPS (Hypertext Transfer Protocol Secure) sử dụng giao thức TLS/SSL (Transport Layer Security/Secure Sockets Layer) để mã hóa dữ liệu. Mã hóa này đảm bảo rằng tất cả thông tin trao đổi giữa ứng dụng và máy chủ đều được bảo vệ khỏi sự nghe lén và giả mạo.
Cài đặt android:usesCleartextTraffic=”true” cho phép ứng dụng YONO SBI truyền dữ liệu qua giao thức HTTP không mã hóa thay vì giao thức HTTPS bảo mật. Điều này là một điểm yếu nghiêm trọng vì nó làm mất đi lớp bảo vệ cơ bản nhất cho dữ liệu nhạy cảm.
Đáng chú ý, đối với các ứng dụng Android nhắm mục tiêu API level 28 (Android 9) hoặc cao hơn, mặc định là chặn lưu lượng văn bản rõ để ngăn chặn các rủi ro tương tự. Hệ điều hành Android đã áp dụng chính sách này để thúc đẩy các nhà phát triển sử dụng kết nối an toàn theo mặc định, giảm thiểu nguy cơ tấn công MITM. Tuy nhiên, trong phiên bản 1.23.36 của YONO SBI, cài đặt này vẫn được bật một cách rõ ràng, tạo ra một lỗ hổng bảo mật đáng kể và đi ngược lại với các tiêu chuẩn bảo mật hiện đại của Android.
Ví dụ về cấu hình trong tệp AndroidManifest.xml có thể trông như sau:
<?xml version="1.0" encoding="utf-8"?>
<manifest xmlns:android="http://schemas.android.com/apk/res/android"
package="com.sbi.yono.retail">
<application
android:allowBackup="false"
android:icon="@mipmap/ic_launcher"
android:label="@string/app_name"
android:roundIcon="@mipmap/ic_launcher_round"
android:supportsRtl="true"
android:theme="@style/AppTheme"
android:usesCleartextTraffic="true"> <!-- Lỗi cấu hình bảo mật --!>
<activity
android:name="com.sbi.yono.retail.MainActivity"
android:exported="true">
...
</activity>
...
</application>
</manifest>
Dòng android:usesCleartextTraffic="true" chính là nguyên nhân gốc rễ của lỗ hổng này. Nó cho phép ứng dụng thực hiện các yêu cầu mạng không mã hóa, bỏ qua các biện pháp bảo vệ tích hợp của Android.
Cơ chế Khai thác và Tác động
Tác động của lỗ hổng này là nghiêm trọng. Lỗ hổng đã được xếp hạng là nghiêm trọng (critical), phản ánh mức độ dễ khai thác và tác động cao đến tính bảo mật của dữ liệu người dùng. Việc thiếu mã hóa cho phép kẻ tấn công thực hiện cuộc tấn công MITM. Trong một cuộc tấn công MITM, kẻ tấn công sẽ chặn đường truyền thông tin giữa ứng dụng YONO SBI và máy chủ của ngân hàng. Khi dữ liệu được truyền đi dưới dạng văn bản rõ (cleartext), kẻ tấn công có thể:
* Đọc trộm (Eavesdropping): Toàn bộ dữ liệu được trao đổi, bao gồm thông tin đăng nhập (tên người dùng, mật khẩu, mã PIN), chi tiết giao dịch (số tài khoản, số tiền chuyển, lịch sử giao dịch), thông tin cá nhân (tên, địa chỉ, số điện thoại), và bất kỳ dữ liệu nhạy cảm nào khác, đều có thể bị đọc mà không gặp bất kỳ trở ngại nào.
* Sửa đổi dữ liệu (Data Tampering): Không chỉ đọc, kẻ tấn công còn có khả năng sửa đổi dữ liệu đang được truyền tải. Điều này có thể dẫn đến các giao dịch gian lận, chuyển tiền sai địa chỉ, hoặc thay đổi thông tin tài khoản mà người dùng không hề hay biết.
* Giả mạo danh tính (Impersonation): Bằng cách chặn và thao túng lưu lượng truy cập, kẻ tấn công có thể giả mạo ứng dụng để gửi yêu cầu đến máy chủ ngân hàng hoặc giả mạo máy chủ ngân hàng để gửi thông tin sai lệch đến ứng dụng của người dùng.
Mức độ nghiêm trọng của lỗ hổng này còn được đánh giá dựa trên tác động của nó đến ba trụ cột chính của an ninh thông tin: Tính bảo mật (Confidentiality), Tính toàn vẹn (Integrity) và Tính sẵn có (Availability).
* Tính bảo mật (Confidentiality): Đây là khía cạnh bị ảnh hưởng nghiêm trọng nhất. Thông tin nhạy cảm của người dùng và tài chính bị lộ hoàn toàn cho kẻ tấn công, vi phạm nghiêm trọng quyền riêng tư và an toàn dữ liệu.
* Tính toàn vẹn (Integrity): Dữ liệu có thể bị sửa đổi trong quá trình truyền tải, dẫn đến thông tin không chính xác hoặc các giao dịch trái phép, làm mất đi sự tin cậy vào tính chính xác của dữ liệu.
* Tính sẵn có (Availability): Mặc dù lỗ hổng này không trực tiếp làm gián đoạn dịch vụ, nhưng hậu quả của việc dữ liệu bị đánh cắp hoặc sửa đổi có thể gây ra sự cố tài chính lớn cho người dùng, buộc họ phải tạm ngừng sử dụng dịch vụ hoặc đối mặt với các vấn đề pháp lý, ảnh hưởng gián tiếp đến tính sẵn có của dịch vụ ngân hàng đối với cá nhân đó.
Một bằng chứng khái niệm (proof-of-concept – PoC) đã được công bố, minh họa rủi ro trong một kịch bản thực tế. Bên cạnh đó, nhà nghiên cứu đã trình bày chi tiết các bước để tái tạo lỗ hổng, khẳng định khả năng khai thác của nó. Tuy nhiên, các bước cụ thể này không được cung cấp trong thông tin gốc.
Rủi ro Tiềm ẩn và Kịch bản Tấn công
Lỗ hổng này đặt thông tin đăng nhập của người dùng, các giao dịch tài chính và dữ liệu cá nhân vào rủi ro đáng kể, đặc biệt là đối với người dùng truy cập ứng dụng qua các mạng Wi-Fi công cộng hoặc không an toàn.
Mối đe dọa trên Mạng Wi-Fi Công cộng
Các mạng Wi-Fi công cộng, như tại quán cà phê, sân bay, khách sạn, hoặc trung tâm mua sắm, thường thiếu các biện pháp bảo mật mạnh mẽ hoặc hoàn toàn không có mã hóa. Chúng là môi trường lý tưởng cho kẻ tấn công thực hiện các cuộc tấn công MITM. Kẻ tấn công có thể:
* Thiết lập Điểm truy cập giả mạo (Rogue Access Points): Tạo một điểm truy cập Wi-Fi có vẻ hợp pháp (ví dụ: “Free_Airport_WiFi”) để thu hút nạn nhân kết nối. Sau khi kết nối, toàn bộ lưu lượng truy cập của nạn nhân sẽ đi qua thiết bị của kẻ tấn công.
* Tấn công ARP Spoofing/Poisoning: Trong mạng cục bộ, kẻ tấn công có thể đánh lừa các thiết bị tin rằng chúng là cổng mặc định hoặc ngược lại, khiến lưu lượng truy cập đi qua máy của kẻ tấn công trước khi đến đích.
* Sử dụng Sniffer gói tin: Với dữ liệu không mã hóa, kẻ tấn công có thể dễ dàng sử dụng các công cụ sniffer gói tin (ví dụ: Wireshark) để thu thập và đọc thông tin nhạy cảm.
Khi người dùng thực hiện các giao dịch nhạy cảm như đăng nhập tài khoản, chuyển tiền, kiểm tra số dư, hoặc cập nhật thông tin cá nhân trên ứng dụng YONO SBI trong khi kết nối với mạng Wi-Fi không an toàn, tất cả dữ liệu này đều có nguy cơ bị chặn và đánh cắp. Điều này có thể dẫn đến việc mất tiền, lừa đảo tài chính, hoặc đánh cắp danh tính. Quy mô người dùng khổng lồ của SBI khiến số lượng nạn nhân tiềm năng trở nên rất lớn, từ đó làm tăng mức độ nghiêm trọng của lỗ hổng.
Tình trạng Hiện tại và Khuyến nghị
Phản hồi từ Nhà cung cấp
Tính đến ngày 2 tháng 7 năm 2025, chưa có bất kỳ tuyên bố công khai nào từ SBI về một bản vá hoặc các bước giảm thiểu rủi ro cho người dùng bị ảnh hưởng. Sự thiếu hụt phản hồi này là một mối lo ngại lớn, đặc biệt khi xét đến tính chất “nghiêm trọng” của lỗ hổng và quy mô người dùng khổng lồ của ứng dụng. Các chuyên gia bảo mật nhấn mạnh sự cấp bách để SBI giải quyết vấn đề này nhằm bảo vệ cơ sở người dùng rộng lớn của mình khỏi các vụ khai thác tiềm tàng.
Khuyến nghị cho Người dùng
Cho đến khi một bản sửa lỗi chính thức được phát hành, người dùng được khuyến cáo mạnh mẽ thực hiện các biện pháp phòng ngừa sau để bảo vệ dữ liệu và tài chính của mình:
* Tránh sử dụng ứng dụng trên mạng Wi-Fi công cộng hoặc không an toàn: Tuyệt đối không thực hiện các giao dịch nhạy cảm hoặc đăng nhập vào ứng dụng YONO SBI khi kết nối với Wi-Fi miễn phí tại các địa điểm công cộng như quán cà phê, sân bay, thư viện. Các mạng này thường không được mã hóa và rất dễ bị tấn công MITM.
* Ưu tiên sử dụng mạng di động đáng tin cậy hoặc mạng Wi-Fi riêng tư, bảo mật: Để đảm bảo an toàn tối đa, hãy sử dụng ứng dụng YONO SBI qua kết nối dữ liệu di động (3G/4G/5G) của nhà mạng hoặc trên mạng Wi-Fi riêng tư tại nhà đã được mã hóa (WPA2/WPA3). Mạng di động thường có lớp mã hóa riêng, giảm thiểu đáng kể nguy cơ bị chặn.
* Theo dõi thông báo từ SBI về bản cập nhật ứng dụng và cài đặt ngay khi có: Luôn kiểm tra các thông báo chính thức từ Ngân hàng Nhà nước Ấn Độ hoặc cập nhật ứng dụng YONO SBI thông qua Google Play Store hoặc Apple App Store. Ngay khi có bản vá được phát hành để khắc phục lỗ hổng này, hãy cập nhật ứng dụng ngay lập tức để được bảo vệ.
* Cẩn trọng với các dấu hiệu bất thường: Luôn cảnh giác với bất kỳ hoạt động đáng ngờ nào trong tài khoản ngân hàng của bạn, như các giao dịch không rõ, thông báo đăng nhập lạ, hoặc yêu cầu thông tin không xác định. Báo cáo ngay lập tức cho SBI nếu phát hiện bất thường.
Việc tuân thủ các khuyến nghị này sẽ giúp giảm thiểu rủi ro bị khai thác trong khi chờ đợi bản vá chính thức từ nhà cung cấp. An toàn tài chính cá nhân phụ thuộc vào việc người dùng chủ động áp dụng các biện pháp bảo mật cần thiết.
