Cross-Site Request Forgery (CSRF) là kỹ thuật tấn công xảy ra?

Câu hỏi này kiểm tra kiến thức về các loại ứng dụng di động và khả năng tồn tại các lỗ hổng bảo mật trên chúng.

* A. Native apps: Ứng dụng native được phát triển dành riêng cho một hệ điều hành di động cụ thể (ví dụ: iOS hoặc Android). Chúng có thể có các lỗ hổng bảo mật nếu mã nguồn không an toàn, sử dụng các thư viện cũ hoặc bị tấn công thông qua các lỗ hổng hệ điều hành.
* B. Web apps: Ứng dụng web chạy trong trình duyệt web trên thiết bị di động. Chúng có thể dễ bị tấn công XSS, CSRF, SQL injection (nếu có tương tác với cơ sở dữ liệu) và các lỗ hổng bảo mật web thông thường khác.
* C. Hybrid apps: Ứng dụng hybrid là sự kết hợp giữa ứng dụng native và ứng dụng web. Chúng thường được xây dựng bằng các công nghệ web (HTML, CSS, JavaScript) và được đóng gói trong một container native. Do đó, chúng có thể kế thừa các lỗ hổng bảo mật từ cả hai loại ứng dụng.

Vì cả ba loại ứng dụng đều có thể chứa lỗ hổng bảo mật, đáp án chính xác nhất là D.

Câu hỏi này kiểm tra kiến thức về các lỗ hổng bảo mật đã từng xuất hiện trên hệ điều hành Android.

* A. Stagefright: Là một lỗ hổng bảo mật nghiêm trọng được phát hiện vào năm 2015, ảnh hưởng đến hàng triệu thiết bị Android. Nó cho phép kẻ tấn công thực thi mã từ xa thông qua việc gửi một tin nhắn MMS đặc biệt chứa tệp media độc hại. Đây là một lỗ hổng bảo mật thực tế và nổi tiếng.
* B. Bảo mật vân tay: Mặc dù bảo mật vân tay có thể có những hạn chế và điểm yếu nhất định (ví dụ: dễ bị đánh lừa bằng vân tay giả hoặc bị bypass trong một số trường hợp), bản thân nó không phải là một lỗ hổng bảo mật theo kiểu một lỗi phần mềm cụ thể. Mà đúng hơn, nó là một tính năng bảo mật có thể bị khai thác.
* C. Giả mạo giao diện (UI spoofing): Là một kỹ thuật tấn công mà kẻ tấn công tạo ra một giao diện giả mạo, giống với giao diện của một ứng dụng hoặc hệ thống hợp pháp, để lừa người dùng cung cấp thông tin nhạy cảm hoặc thực hiện các hành động không mong muốn. Đây cũng là một dạng tấn công bảo mật có thể xảy ra trên Android.

Vì A, B, C đều là những vấn đề liên quan đến bảo mật trên Android (A là lỗ hổng nghiêm trọng, C là kỹ thuật tấn công, B là tính năng bảo mật có thể bị khai thác), đáp án chính xác nhất là D. tất cả đều đúng.

Khái niệm Quản lý An ninh Thông tin (Information Security Management) bao gồm việc quản lý tất cả các loại thông tin (trên giấy, điện tử,...), cũng như xác định cách thông tin được xử lý, lưu trữ, truyền tải và tiêu hủy một cách an toàn. Do đó, phương án A và B đều đúng và phương án C (cả 2 đều đúng) là đáp án chính xác nhất.

Thông tin an toàn là thông tin phải đảm bảo đồng thời cả ba yếu tố: tính bảo mật (chỉ người được phép mới có thể truy cập), tính toàn vẹn (thông tin không bị sửa đổi trái phép) và tính khả dụng (người được phép có thể truy cập thông tin khi cần). Do đó, đáp án D (cả 3 đều đúng) là đáp án chính xác nhất.

Tính bí mật (Confidentiality) là một trong ba trụ cột chính của an toàn thông tin (cùng với tính toàn vẹn và tính khả dụng). Nó đảm bảo rằng thông tin chỉ được phép truy cập bởi những người được ủy quyền. Phương án A mô tả chính xác khái niệm này: 'Đảm bảo thông tin trong hệ thống không bị truy cập trái phép. Ngăn chặn vấn đề xem trộm thông tin.'

Phương án B đề cập đến các phương pháp để thực hiện tính bí mật, chứ không phải là định nghĩa của nó. Các kỹ thuật mã hóa (sử dụng cả phần cứng và phần mềm) là một cách để bảo vệ tính bí mật, nhưng không phải là bản thân định nghĩa.

Vì vậy, đáp án C ('cả 2 đều đúng') là đáp án chính xác vì nó bao gồm cả định nghĩa lẫn cách thức thực hiện.