Tiêu chuẩn bảo mật ứng dụng di động cho IoT, VPN được đề xuất bởi nhóm được hỗ trợ bởi Big Tech
Việc công bố Hồ sơ ứng dụng dành cho thiết bị di động mới, một chương trình chứng nhận bao gồm các phương pháp và yêu cầu tốt nhất để giữ cho các ứng dụng di động an toàn hơn mức hiện tại của nhà cung cấp, là kết quả từ sự hợp tác của hơn 20 công ty thành viên ioXt như Amazon, Comcast, Google....
Brooke Davis và Eugene Liderman đến từ nhóm bảo mật và quyền riêng tư Android của Google, trong một bài đăng trên blog họ cho biết: “Cơ sở bảo mật này giúp giảm thiểu các mối đe dọa phổ biến và giảm xác suất xuất hiện các lỗ hổng bảo mật đáng kể”.
"Hồ sơ này tận dụng các tiêu chuẩn và nguyên tắc hiện có do OWASP MASVS và Sáng kiến VPN Tin cậy (VPN Trust Initiative) đưa ra, đồng thời cho phép các nhà phát triển phân biệt các khả năng bảo mật xung quanh chất lượng chương trình mật mã, xác thực, bảo mật mạng và tiết lộ lỗ hổng bảo mật".
Chương trình tập trung vào các ứng dụng dành cho thiết bị di động vì đây thường là các ứng dụng giao diện người dùng phía khách cho các thiết bị thông minh và dịch vụ đám mây. Nó bao gồm một loạt kỳ vọng bổ sung cho các ứng dụng mạng riêng ảo (VPN), phần nhiều trong số đó, như VPN Onavo đã ngừng hoạt động của Facebook, đã bị cáo buộc đưa ra các tuyên bố bảo mật gây hiểu nhầm.
Harold Li, Chủ tịch Sáng kiến VPN Tin cậy và Phó chủ tịch ExpressVPN, cho biết trong một tuyên bố “VPN là trung tâm của quyền riêng tư, bảo mật và quyền trên internet, nhưng các thành viên của VTI biết rõ rằng chúng tôi không thể cung cấp các biện pháp bảo vệ đó nếu không có sự tin tưởng và minh bạch. Chương trình này sẽ cung cấp cho người tiêu dùng nhiều quyền kiểm soát và tự tin hơn trong việc lựa chọn các giải pháp tự bảo vệ trực tuyến".
Về mặt thực tế, điều đó có nghĩa là một ứng dụng VPN được ioXt chứng nhận sẽ có những tiết lộ thông tin ở đâu đó, nếu các hoạt động kinh doanh của nhà cung cấp liên quan đến việc bán dữ liệu và ít nhất sẽ thực hiện một số nỗ lực để triển khai mã của nó theo hướng bảo mật. Việc cả Google và Facebook đều là thành viên của ioXt, trong khi Apple thì không, cho thấy bộ quy tắc phù hợp với các mô hình kinh doanh dựa trên quảng cáo.
Nhưng chương trình của ioXt là tự nguyện, cho phép tự chứng nhận (mặc dù các nhà cung cấp có thể chọn chứng nhận từ phòng thí nghiệm được ủy quyền của ioXt) và tốn tiền.
Brad Ree, CTO của ioXt Alliance cho biết: “Chứng nhận Ứng dụng Di động bắt đầu ở mức 799 USD mỗi năm và chứng nhận thiết bị bắt đầu ở mức 1.950 USD mỗi năm. Tuy nhiên, các chứng nhận thường dựa trên toàn bộ dòng sản phẩm có chiết khấu theo số lượng".
Ree cho biết ioXT cung cấp cả chứng nhận bản thân với phần thưởng dành cho nhà nghiên cứu và chứng nhận xác thực từ phòng thí nghiệm. Ông nói: “Mục tiêu của chúng tôi là cung cấp một chương trình chứng nhận có thể mở rộng đến hàng trăm nghìn thiết bị được sản xuất bởi các nhà sản xuất trên toàn thế giới. Chúng tôi tin rằng chúng tôi có những phương pháp có thể mở rộng quy mô từ các công ty khởi nghiệp nhỏ cho tới các tập đoàn lớn."
Vì vậy, điều này sẽ không bắt được các tác nhân độc hại hay giúp ích nhiều cho các lỗ hổng do lập trình kém chất lượng.
Thay vào đó, những đơn vị tham gia có khả năng là các công ty đã có tên tuổi đang tìm cách tạo sự khác biệt với các nhà cung cấp ít trách nhiệm hơn. Phần đầu tiên của các ứng dụng được chứng nhận bao gồm: Comcast Xfinity Authenticator, ExpressVPN, Bàn phím không dây GreenMAX DRC, Hubspace Affero, McAfee Innovations (VPN), NordVPN, OpenVPN cho Android, Private Internet Access (VPN), VPN Private và ứng dụng Google One (chứa VPN của Google One).
Tuy nhiên chương trình này vẫn có một số giá trị, ví dụ: Hồ sơ ứng dụng dành cho thiết bị di động bao gồm các yêu cầu hợp lý như "Không có mật khẩu chung”. Nó cũng nhắc nhở các nhà cung cấp tuân thủ các phương pháp bảo mật bằng cách đặt các câu hỏi như liệu nhà cung cấp có chương trình báo cáo lỗ hổng bảo mật hay không, các loại bản cập nhật được áp dụng tự động, các bản cập nhật có được ký hay không,...
Đáng chú ý là việc bao gồm một hoặc hai nút trên danh sách sản phẩm được chứng nhận: Bất đồng với Chứng nhận (Dispute Certification) và Báo cáo lỗ hổng bảo mật. Nút Dispute Certification dẫn đến một biểu mẫu web để loại bỏ các nhà cung cấp không tuân thủ cam kết của họ và bao gồm một liên kết đến một chương trình trao thưởng từ 100 - 600 USD của ioXt Alliance. Nút thứ hai bao gồm một liên kết mailto: cung cấp một đầu mối liên hệ để người dùng báo cáo lỗ hổng bảo mật, với chương trình tiền thưởng cho việc cung cấp lỗi có thể áp dụng tùy thuộc vào các chương trình và chính sách của nhà cung cấp.
Tiết lộ được liệt kê trên các trang sản phẩm được chứng nhận có thể giúp người dùng đưa ra quyết định sáng suốt hơn. Nếu bạn là kiểu người có thể từ chối ứng dụng Xfinity Authenticator vì nó không ghim chứng chỉ x503, hệ thống chứng nhận của ioXt có thể làm thay đổi cuộc sống.
Nhưng chủ yếu, chương trình của ioXt sẽ giúp các nhà cung cấp sử dụng danh sách kiểm tra như một cơ chế để báo hiệu sự siêng năng và tuân thủ đối với thị trường. Không có gì ngăn cản bất kỳ công ty nào trong số họ thiết lập các tiêu chuẩn nội bộ và phát hành các sản phẩm an toàn như vẫn diễn ra gần đây.
Nguyễn Anh Tuấn (theo The Register)