Một chuyên gia bảo mật đã phát hiện những lỗ hổng nghiêm trọng trong ứng dụng hẹn hò dành cho thanh thiếu niên có tên Pandu, làm lộ dữ liệu cá nhân của gần 1.000 trẻ em dưới 18 tuổi. Ứng dụng này đã vượt qua quá trình xét duyệt của App Store của Apple, chứa nhiều lỗ hổng bảo mật nghiêm trọng khiến vị trí, ảnh và thông tin cá nhân của người dùng bị lộ hoàn toàn.
Các lỗ hổng bảo mật được phát hiện:
- Các khóa API được mã hóa cứng trong mã nguồn
- Cơ sở dữ liệu mở không yêu cầu xác thực
- Lộ vị trí người dùng, ảnh và dữ liệu cá nhân
- Gần 1.000 trẻ em dưới 18 tuổi bị ảnh hưởng
- Theo dõi vị trí thời gian thực có thể truy cập bởi bất kỳ ai
Quá trình phát hiện
Cuộc điều tra bắt đầu khi chuyên gia bảo mật coal320 gặp người tạo ra ứng dụng tại một sự kiện hackathon. Điều bắt đầu như sự tò mò về một ứng dụng được tạo bởi AI nhanh chóng trở thành một cuộc kiểm toán bảo mật đáng lo ngại. Nhà nghiên cứu phát hiện rằng mã nguồn của ứng dụng chứa các API keys được mã hóa cứng và thông tin đăng nhập cơ sở dữ liệu, khiến việc truy cập vào hệ thống backend trở nên vô cùng dễ dàng đối với bất kỳ ai.
Phát hiện đáng báo động nhất là cơ sở dữ liệu của ứng dụng hoàn toàn không có bất kỳ hạn chế bảo mật nào. Bất kỳ ai có kiến thức kỹ thuật cơ bản đều có thể truy cập, chỉnh sửa hoặc xóa dữ liệu người dùng mà không cần xác thực. Điều này có nghĩa là vị trí thời gian thực, ảnh cá nhân và thông tin hồ sơ của trẻ em về cơ bản đã trở thành công khai.
Chi tiết kỹ thuật:
- Ứng dụng được xây dựng bằng các công cụ AI ( Cursor , Claude )
- Sử dụng Supabase làm cơ sở dữ liệu backend
- Chứa các khóa API OpenAI dưới dạng văn bản thuần túy
- Mã nguồn có thể truy cập thông qua các phương pháp trích xuất đơn giản
- Không có hạn chế bảo mật đối với các truy vấn cơ sở dữ liệu
Phản ứng cộng đồng và tiết lộ có trách nhiệm
Phản ứng của cộng đồng công nghệ khá trái chiều, với nhiều người khen ngợi nhà nghiên cứu vì đã phơi bày những lỗ hổng nghiêm trọng này trong khi những người khác lại chỉ trích phương pháp tiết lộ công khai. Nhà nghiên cứu khẳng định đã liên hệ với nhà phát triển ứng dụng trước thông qua các thực hành tiết lộ có trách nhiệm, nhưng không nhận được sự quan tâm trong việc khắc phục các vấn đề.
Những tác động đến quyền riêng tư khi sử dụng phần mềm được xây dựng bởi ai đó mà năng suất đầu ra trực tiếp gắn liền với thời gian hoạt động của Cursor thật sự khủng khiếp.
Một số thành viên cộng đồng đã đặt câu hỏi liệu việc công bố các hướng dẫn kỹ thuật chi tiết để truy cập các lỗ hổng có phù hợp hay không, cho rằng điều này có thể khiến trẻ em gặp nguy hiểm lớn hơn. Những người khác bảo vệ việc tiết lộ công khai là cần thiết do nhà phát triển có vẻ không muốn giải quyết các vấn đề bảo mật.
Vấn đề rộng lớn hơn trong phát triển AI
Sự cố này làm nổi bật những lo ngại ngày càng tăng về chất lượng của các ứng dụng được tạo bởi AI đang ra thị trường. Ứng dụng này được báo cáo là được xây dựng bằng các công cụ lập trình AI như Cursor và Claude, với sự giám sát hoặc xem xét bảo mật tối thiểu từ con người. Việc phát triển nhanh chóng được hỗ trợ bởi các công cụ này cho phép những người có kiến thức lập trình hạn chế tạo ra và triển khai các ứng dụng mà không hiểu các nguyên tắc bảo mật cơ bản.
Tình huống này đặt ra câu hỏi về cả trách nhiệm của nhà phát triển và sự giám sát của nền tảng. Quá trình phê duyệt App Store của Apple đã không phát hiện được những lỗ hổng bảo mật rõ ràng này, mặc dù ứng dụng được thiết kế cho trẻ vị thành niên và xử lý dữ liệu vị trí nhạy cảm.
 |
|---|
| Hình ảnh này thể hiện các cuộc thảo luận về trách nhiệm và vấn đề bảo mật trong các ứng dụng được tạo ra bởi AI, phản ánh những mối quan ngại được nêu ra trong vụ việc Pandu |
Tình trạng hiện tại và tác động
Tính đến thời điểm xuất bản báo cáo bảo mật này, ứng dụng vẫn có sẵn trên App Store. Nhà nghiên cứu đã đề nghị giúp khắc phục các vấn đề bảo mật miễn phí, mặc dù chưa rõ liệu nhà phát triển có chấp nhận sự hỗ trợ này hay không. Sự cố này là một lời nhắc nhở nghiêm khắc về những nguy hiểm tiềm ẩn khi các công cụ phát triển được hỗ trợ bởi AI được sử dụng mà không có kiến thức bảo mật hoặc sự giám sát thích hợp.
Trường hợp này cũng chứng minh cách việc dân chủ hóa phát triển ứng dụng thông qua các công cụ AI có thể tạo ra những rủi ro mới, đặc biệt khi các ứng dụng xử lý dữ liệu người dùng nhạy cảm hoặc nhắm đến các nhóm dễ bị tổn thương như trẻ em. Nếu không có giáo dục bảo mật và quy trình xem xét thích hợp, những công cụ này có thể cho phép tạo ra các ứng dụng đặt người dùng vào nguy cơ nghiêm trọng.
Tham khảo: JUST FUCKING SHIP IT (sec vibecoding)
 |
|---|
| Hình ảnh này cho thấy quá trình giải mã liên quan đến ứng dụng Pandu, minh họa những thách thức kỹ thuật được thảo luận trong việc giải quyết các lỗ hổng bảo mật của nó |