Gửi bình luận
Hai chuyên gia bảo mật Tommy Mysk và Talal Haj Bakry đã dùng một phương pháp đơn giản để thử nghiệm độ bảo mật của các nền tảng nhắn tin nổi tiếng, nhiều người dùng hiện nay.
Họ phát hiện ra các dịch vụ thuộc sở hữu Facebook như Instagram hay Messenger có cách xử lý rất khác thường, đều tải nội dung không mã hóa của người gửi về server riêng của mình và không biết họ lưu giữ nó trong bao lâu.
Đây cũng là đội ngũ thúc giục Apple thêm tính năng cảnh báo truy cập clipboard trên iOS 14 cũng như phát hiện TikTok đọc nội dung clipboard của người dùng. Phương pháp mà hai người này sử dụng là gửi một link trang web và xem cách các dịch vụ nhắn tin xử lý xem trước (khi chúng ta gửi bất kỳ link nào thì nó cũng sẽ có một khung hiển thị xem trước ngay phía dưới xem qua về nội dung). Theo họ, đây là cách rất hiệu quả để phát hiện vấn đề liên quan tới bảo mật vì dịch vụ sẽ phải theo dõi đường link ở đâu đó và xử lý dữ liệu trả về. Nếu xử lý không đúng, rất có thể dịch vụ nhắn tin sẽ dễ dàng truy cập dữ liệu người dùng, tải thông tin cá nhân hay dữ liệu vị trí về máy chủ của họ.
Mysk và Haj Bakry nói hầu hết các dịch vụ đều xử lý đúng mực với đường link mà họ thử nghiệm, bao gồm TikTok, Wechat, hay các dịch vụ nhắn tin mã hóa hai đầu là Whatsapp (dù cũng thuộc Facebook) hay iMessage, chỉ tạo xem trước ở phía người gửi và gửi file đính kèm với đường link mà thôi. Theo cách này, người nhận sẽ an toàn hơn vì được bảo vệ khỏi những đường link có mã độc.
Ngược lại là cách tạo bản xem trước ở phía người nhận, và đó là cách rất nguy hiểm. Điều này có nghĩa bất cứ ai gửi cho bạn đường link nào đi chăng nữa, máy của bạn sẽ tự tải và theo dõi đường link, thậm chí lộ địa chỉ IP và vị trí của bạn. Mysk and Haj Bakry phát hiện ra hai ứng dụng nhắn tin xử lý như vậy và họ đều đang vá lỗi.
Có một cách khác, như cách Facebook Messenger đang sử dụng, họ xử lý xem trước của đường link đó trên server của mình. Khi bạn gửi một đường link đi, ứng dụng sẽ gửi nó tới một server bên ngoài và yêu cầu tạo bản xem trước, sau đó server sẽ gửi bản xem trước đó cho cả người gửi và người nhận. Điều này có thể gây nguy hiểm nếu đó là một chủ ý gửi link độc. Đáng chú ý, ở chế độ hội thoại bí mật được mã hóa hai đầu, Messenger không xử lý như vậy, tức không gửi bản xem trước. Nó dẫn tới khả năng là Facebook biết có rủi ro và có thể ảnh hưởng quyền riêng tư người dùng khi chat ở chế độ bình thường.
Theo giải thích của các nhà phân tích, đường link gửi đi có thể chứa nội dung cá nhân của riêng người nhận mà thôi, ví dụ hóa đơn, hợp đồng, bản lưu y tế... hay tất cả thông tin nhạy cảm. Mặc dù các server có thể tin tưởng được nhưng người dùng không hề có cảnh báo hay thông báo nào về việc nội dung trong link đó bị server tải xuống cả. Có rất nhiều câu hỏi ở đây, có phải server tải toàn bộ nội dung đường link, hay chỉ một phần. Có phải họ tải tất cả và giữ lại bản sao, nếu giữ lại thì trong bao lâu. Nếu bản sao được giữ lại thì có bảo mật không hay ai điều khiển server đều có thể truy cập...
Ngoài Messenger, nhiều dịch vụ cũng có cách xử lý tương tự như Instagram, LinkedIn, Slack, Twitter, Zoom hay Hangouts. Nhưng chỉ duy nhất Facebook là tải về toàn bộ nội dung đường link đó. Trong khi hầu hết các dịch vụ khác đều giới hạn tải file 20-50MB thì các nhà nghiên cứu nói Facebook tải một file tới 2.6GB về server của mình. Trong thử nghiệm đó, một link với file rất lớn được gửi đi và đồng loạt, rất nhiều server của Facebook đã cùng tải đường link đó về.
Thậm chí, các nhà nghiên cứu phát hiện Instagram còn chạy đoạn mã trong đường link đó. Họ nói nếu bạn gửi một đường link với đoạn code Javascript trong Instagram DM, Facebook sẽ chạy đoạn mã đó trên server của mình. Mysk nói rằng kẻ tấn công có thể lợi dụng để chạy đoạn mã độc thông qua server Facebook. Nhưng đại diện Facebook phủ nhận vì nói họ có cơ chế để chống lại những tấn công kiểu này.
Một lời khuyên với người dùng, nếu chúng ta gửi nội dung, file hay đường link nào đó với thông tin rất nhạy cảm và riêng tư thì hãy dùng chế độ mã hóa hai chiều (trên Messenger). Phát hiện bên trên cũng cho thấy một nền tảng có thể dễ dàng truy cập nội dung của người dùng như nào, trong khi chúng ta đều biết Facebook truy cập và đọc nội dung không mã hóa mà chúng ta gửi thì bây giờ biết thêm họ còn tải nội dung về server riêng. Đáp lại, Facebook phủ nhận lưu trữ thông tin và nói họ có cơ chế chống mã độc tấn công. Họ cũng nói do vấn đề kỹ thuật mà không đặt tính năng mã hóa hai chiều làm mặc định trên Messenger (chỉ ở chế độ hội thoại bí mật), nếu bạn cần nhắn tin mã hóa hai chiều thì dùng Whatsapp.
