Trong thời đại 4.0, ngành Y cũng đã bắt đầu ứng dụng công nghệ số hóa vào các nghiệp vụ y tế như đặt lịch khám bệnh, quản lý hồ sơ bệnh nhân, khám chữa bệnh từ xa… Điều này mang lại rất nhiều lợi ích nhưng cũng tiềm ẩn nhiều rủi ro. Các lỗ hổng trong các ứng dụng y tế có thể làm lộ các thông tin nhạy cảm của người dùng.

Mục Lục

DISCLAIMER

Đây là một dự án nghiên cứu hoàn toàn nhằm mục đích nâng cao nhận thức về sự quan trọng của việc đảm bảo an toàn thông tin, đặc biệt là trong các ứng dụng có chứa các thông tin nhạy cảm như y tế. Chúng tôi không thực hiện bất kỳ hành vi nào xâm phạm tới quyền riêng tư của người khác và không làm ảnh hưởng tới hoạt động của ứng dụng. Mọi thao tác đều được thực hiện trên tài khoản của chúng tôi để đảm bảo tính pháp lý..

Trước khi bài này được công bố, chúng tôi đã tìm cách liên lạc với đội ngũ phát triển, nhưng chỉ có một vài đơn vị phản hồi và khắc phục lỗ hổng. Chúng tôi không chịu trách nhiệm với các cuộc tấn công về sau nếu có

THU THẬP ỨNG DỤNG

Từ các cửa hàng ứng dụng lớn như CH Play hay APKCombo, chúng tôi sử dụng những từ khóa như: “Y tế”, “Bệnh viện”, “Bệnh nhân”, “Thuốc”, “Sổ sức khỏe điện tử”… để tìm kiếm các ứng dụng y tế điện tử. Sau khi đã liệt kê và tải về 184 ứng dụng, chúng tôi tiến hành lọc bớt những ứng dụng không còn hoạt động, những ứng dụng bị lỗi. Tổng số ứng dụng còn hoạt động là 127. Trong đó các nhóm ứng dụng được chia thành Tư vấn y tế; Quản lý hồ sơ bệnh nhân, bệnh viện; Đặt lịch khám bệnh; Sổ khám bệnh; Ứng dụng nội bộ nhà thuốc & bệnh viện; Ứng dụng bán thuốc; Khác (giới thiệu thuốc, máy in…).

TÌM KIẾM LỖ HỔNG

PHƯƠNG PHÁP TÌM KIẾM LỖ HỔNG

Để đảm bảo tính pháp lý và tính khách quan, chúng tôi thực hiện tìm kiếm lỗ hổng theo các quy tắc sau:

• Tải app và trải nghiệm các chức năng như người dùng bình thường.
• Sử dụng Burp Suite để quan sát các gói tin và tìm kiếm lỗ hổng.
• Nếu cần test các lỗ hổng như IDOR hay Broken Access Control, tạo 2 tài khoản và thao tác trên chính tài khoản của mình.
• Không làm lộ thông tin nhạy cảm của ứng dụng và của người dùng.
• Không làm ảnh hưởng tới hoạt động của ứng dụng.

Với các tiêu chí trên, chúng tôi tập trung vào 4 lỗ hổng phổ biến dễ khai thác là:

Insecure Direct Object Reference

Insecure Direct Object Reference (IDOR) – tham chiếu dữ liệu trực tiếp một cách không an toàn, là một trong 10 lỗ hổng phổ biến nhất thế giới, với mức độ ảnh hưởng trung bình/cao với hệ thống, và cách thức khai thác rất dễ dàng. Lỗ hổng này xảy ra khi người dùng có thể xem được những thông tin bí mật của người dùng khác mà không có sự cho phép.

Information disclosure

Information disclosure – lộ lọt thông tin xảy ra khi ứng dụng vô tình trả về nhiều thông tin hơn cần thiết trong response, bao gồm cả những thông tin nhạy cảm. Các thông tin nhạy cảm bị lộ trong quá trình kiểm thử bao gồm: Số điện thoại, Địa chỉ nhà, Mật khẩu, Thông tin người thân, Căn cước công dân, Các chỉ số bệnh án, tiền sử bệnh tật…

Insecure HTTP Usage

Insecure HTTP Usage – sử dụng giao thức HTTP không an toàn thay vì giao thức HTTPS được bảo vệ bằng SSL (giao thức mã hóa cung cấp đường truyền an toàn). Điều này khiến cho việc nghe lén dễ dàng xảy ra.

KẾT QUẢ

Chúng tôi đã thực hiện kiểm thử 55 ứng dụng trên 127 ứng dụng tìm kiếm được, trong đó có 26 ứng dụng tồn tại lỗ hổng. 72 ứng dụng cần thêm thời gian phân tích và sử dụng các kỹ thuật phức tạp hơn. Với 55 ứng dụng đã kiểm thử, các lỗ hổng xuất hiện phổ biến với Insecure Direct Object Reference; Bypass SSL Pinning; Insecure HTTP; Information disclosure.

Bên cạnh đó, chúng tôi còn tìm được một số lỗ hổng như không tạo mới OTP, không giới hạn số lần nhập OTP hay có thể thay đổi thông tin của người khác…

Trên 55 ứng dụng đã được kiểm thử, chúng tôi thống kê được có tổng cộng gần 550 NGHÌN người dùng bị ảnh hưởng, dựa trên số lượt tải của ứng dụng. Trong đó số lượng lớn tập trung ở các ứng dụng TƯ VẤN Y TẾ, chiếm tới gần 70%. Các ứng dụng quản lý hồ sơ, ứng dụng nội bộ và các ứng dụng khác chiếm 30%.

Shout out to Cookie Security Team: Double2B, Chigger, Samuel, Twan, Tung