Một số lỗ hổng bảo mật trên di động là gì?

Câu hỏi này kiểm tra kiến thức về các lỗ hổng bảo mật đã từng xuất hiện trên hệ điều hành Android.

* A. Stagefright: Là một lỗ hổng bảo mật nghiêm trọng được phát hiện vào năm 2015, ảnh hưởng đến hàng triệu thiết bị Android. Nó cho phép kẻ tấn công thực thi mã từ xa thông qua việc gửi một tin nhắn MMS đặc biệt chứa tệp media độc hại. Đây là một lỗ hổng bảo mật thực tế và nổi tiếng.
* B. Bảo mật vân tay: Mặc dù bảo mật vân tay có thể có những hạn chế và điểm yếu nhất định (ví dụ: dễ bị đánh lừa bằng vân tay giả hoặc bị bypass trong một số trường hợp), bản thân nó không phải là một lỗ hổng bảo mật theo kiểu một lỗi phần mềm cụ thể. Mà đúng hơn, nó là một tính năng bảo mật có thể bị khai thác.
* C. Giả mạo giao diện (UI spoofing): Là một kỹ thuật tấn công mà kẻ tấn công tạo ra một giao diện giả mạo, giống với giao diện của một ứng dụng hoặc hệ thống hợp pháp, để lừa người dùng cung cấp thông tin nhạy cảm hoặc thực hiện các hành động không mong muốn. Đây cũng là một dạng tấn công bảo mật có thể xảy ra trên Android.

Vì A, B, C đều là những vấn đề liên quan đến bảo mật trên Android (A là lỗ hổng nghiêm trọng, C là kỹ thuật tấn công, B là tính năng bảo mật có thể bị khai thác), đáp án chính xác nhất là D. tất cả đều đúng.

Khái niệm Quản lý An ninh Thông tin (Information Security Management) bao gồm việc quản lý tất cả các loại thông tin (trên giấy, điện tử,...), cũng như xác định cách thông tin được xử lý, lưu trữ, truyền tải và tiêu hủy một cách an toàn. Do đó, phương án A và B đều đúng và phương án C (cả 2 đều đúng) là đáp án chính xác nhất.

Thông tin an toàn là thông tin phải đảm bảo đồng thời cả ba yếu tố: tính bảo mật (chỉ người được phép mới có thể truy cập), tính toàn vẹn (thông tin không bị sửa đổi trái phép) và tính khả dụng (người được phép có thể truy cập thông tin khi cần). Do đó, đáp án D (cả 3 đều đúng) là đáp án chính xác nhất.

Tính bí mật (Confidentiality) là một trong ba trụ cột chính của an toàn thông tin (cùng với tính toàn vẹn và tính khả dụng). Nó đảm bảo rằng thông tin chỉ được phép truy cập bởi những người được ủy quyền. Phương án A mô tả chính xác khái niệm này: 'Đảm bảo thông tin trong hệ thống không bị truy cập trái phép. Ngăn chặn vấn đề xem trộm thông tin.'

Phương án B đề cập đến các phương pháp để thực hiện tính bí mật, chứ không phải là định nghĩa của nó. Các kỹ thuật mã hóa (sử dụng cả phần cứng và phần mềm) là một cách để bảo vệ tính bí mật, nhưng không phải là bản thân định nghĩa.

Vì vậy, đáp án C ('cả 2 đều đúng') là đáp án chính xác vì nó bao gồm cả định nghĩa lẫn cách thức thực hiện.

Tính toàn vẹn (Integrity) trong bảo mật thông tin đề cập đến việc đảm bảo dữ liệu không bị thay đổi, xóa bỏ hoặc sửa đổi trái phép trong quá trình truyền tải hoặc lưu trữ. Điều này đảm bảo rằng thông tin luôn chính xác và đáng tin cậy.

* Đáp án A đúng vì nó mô tả chính xác khái niệm về tính toàn vẹn: đảm bảo sự nguyên vẹn của dữ liệu trong quá trình truyền thông hoặc lưu trữ.
* Đáp án B sai vì nó mô tả tính khả dụng (Availability), một khía cạnh khác của bảo mật thông tin, đảm bảo tài nguyên luôn sẵn sàng cho người dùng hợp lệ.
* Đáp án C sai vì chỉ có A đúng.
* Đáp án D sai vì có A đúng.