Bảo mật mã hoá bị hacker qua mặt: "Cơn ác mộng" của các ứng dụng nhắn tin?

Bảo mật mã hoá bị hacker qua mặt: "Cơn ác mộng" của các ứng dụng nhắn tin?

Khi WhatsApp chuyển qua áp dụng mã hoá đầu cuối (end-to-end) cho hơn 1 tỷ người dùng của mình hồi năm ngoái, động thái đó đánh dấu một kỉ nguyên mới cho các ứng dụng nhắn tin, loại ứng dụng mà khả năng chống đọc trộm tin nhắn sẽ được dùng để đánh giá năng lực bảo mật của chúng. Mã hoá được đánh giá là công nghệ bảo mật tốt nhất hiện nay, tuy nhiên, một số cuộc tấn công nhắm vào WhatsApp phiên bản web mới đây cho thấy, chỉ với một ít dòng mã không an toàn cũng có khả năng qua mặt được công nghệ bảo mật tốt nhất này. 

Bảo mật mã hoá bị hacker qua mặt: Cơn ác mộng của các ứng dụng nhắn tin?

Hôm thứ Tư vừa qua, hãng bảo mật Israeli Check Point công bố một kỹ thuật mới mà theo công ty, có thể qua mặt mã hoá end-to-end của WhatsApp bằng cách ẩn mã HTML trong một hình ảnh trông hoàn toàn vô hại. Nếu người dùng vô tình click vào đó khi sử dụng phiên bản web của WhatsApp, mã sẽ chạy trong trình duyệt của nạn nhân và hacker sẽ chiếm được quyền điều khiển không chỉ tin nhắn mà còn là các ảnh và video bạn được chia sẻ cùng danh bạ của bạn nữa. Check Point cũng nói thêm rằng một cuộc tấn công tương tự cũng đang nhằm vào phiên bản web của Telegram - một ứng dụng nhắn tin khác cũng được mã hoá end-to-end. Với trường hợp của Telegram, mã độc hại được giấu trong một video mà người dùng mở ở một tab mới. 

Điểm yếu chí tử của ứng dụng web

Dù cả 2 công ty (WhatsApp và Telegram) đã vá các lỗi mà Check Point chỉ ra thông qua các bản update nhanh, thế nhưng lỗ hổng bảo mật nói trên có thể khiến hàng triệu người dùng bị đọc lén tin nhắn. Các nhà nghiên cứu bảo mật cũng cho biết, các cuộc tấn công còn nhắm tới các điểm yếu cố hữu trong phiên bản web của mọi dịch vụ nhắn tin được cho là an toàn. Bởi vậy, khi nói tới quyền riêng tư, các ứng dụng trên mobile của một dịch vụ nào đó, đặc biệt là tin nhắn, được đánh giá là an toàn hơn so với trên web. 

"Đáng tiếc rằng các cuộc tấn công vừa qua đã làm lộ điểm yếu của các ứng dụng web" - Nadim Kobeissi, nhà sáng lập của Symbolic Software - một văn phòng về tư vấn mật mã - chia sẻ. Kobeissi trước đây từng ca ngợi rằng các ứng dụng mã hoá trên nền web là rất dễ sử dụng, nhưng ông thừa nhận rằng phát hiện của Check Point là một ví dụ điển hình của việc ứng dụng web dễ bị tấn công hơn so với ứng dụng mobile. "Thật đáng tiếc khi phải nói điều này, nhưng nếu bạn là người quan tâm đến bảo mật, tôi khuyên bạn nên dùng WhatsApp trên iPhone" - ông cho biết. 

Check Point demo cách hack tài khoản WhatsApp:

Các cuộc tấn công mà Check Point nói đến tận dụng các lỗ hổng trong cách 2 ứng dụng nhắn tin (WhatsApp và Telegram) thực hiện "xác nhận đầu vào", quá trình nhằm đảm bảo ảnh hoặc video là một loại file chứ không phải một đoạn mã có nguy cơ chạy các lệnh nguy hiểm trong trình duyệt người dùng. "Mọi ứng dụng web, cho dù là Facebook hay ứng dụng của ngân hàng, đều phải đảm bảo rằng bất cứ thông tin gì bạn nhập vào hay tải lên đều phải là loại tập tin được cho phép sử dụng" - Oded Vanunu, một chuyên gia của Check Point cho biết. "Một khi hacker tìm được cách qua mặt được yêu cầu xác nhận này, trò chơi kết thúc. Trình duyệt sẽ chạy bất kỳ loại dữ liệu nào mà hacker cung cấp cho nó". 

Đây là một dạng tấn công mà các ứng dụng web đặc biệt dễ gặp phải, Kobeissi chia sẻ. Ông chỉ ra rằng trong một trình duyệt web, các thành phần chịu trách nhiệm cho việc render các loại dữ liệu khác nhau - dù là hình ảnh, video hay lệnh thực thi - ít khác biệt và cô lập hơn so với khi chúng ở trong các hệ điều hành thông thường. Bên cạnh đó, ngôn ngữ lập trình web là Javascript cho phép nhận dữ liệu mới để bổ sung hay thậm chí ghi đè chức năng trong một ứng dụng, trong khi ứng dụng mobile hay desktop phải được biên dịch trước khi cài đặt. "Đó là lý do vì sao các lỗ hổng trên có thể tồn tại, và đó là điểm yếu chí tử của các ứng dụng web" - Kobeissi cho biết. 

Các trường hợp đặc biệt

Điều đó không có nghĩa là những lỗi của ứng dụng nền web mà Check Point phát hiện ra đều xuất hiện hàng ngày. 2 nhà nghiên cứu Vanunu và Kobeissi của Check Point đều cho rằng lỗ hổng trên WhatsApp là nghiêm trọng nhưng hiếm gặp. "Đây không phải là một cuộc tấn công mới nhưng lại là kiểu tấn công rất ấn tượng và thông minh" - Kobeissi ghi nhận.

Trong một phản hồi, WhatsApp đã ghi nhận rằng hãng đã xử lý lỗ hổng Check Point chỉ ra trong vòng chưa đầy một ngày kể từ khi công ty được thông báo. Tuy nhiên, hãng kêu gọi người dùng khởi động lại trình duyệt để đảm bảo rằng tài khoản của họ được bảo vệ.

Telegram thì tỏ ra phản đối Check Point nhiều hơn, nói rằng cuộc tấn công chỉ được kích hoạt khi nạn nhân nhấp vào một đoạn video đang được phát trong Chrome và video phải được mở trong một tab mới. Người phát ngôn của Telegram, Markus Ra, phát biểu: "Như bạn thấy, cuộc tấn công nhắm vào ứng dụng của chúng tôi đòi hỏi những tương tác khá ngớ ngẩn mới có thể thành công". Người đại diện này cho rằng, vấn đề bảo mật của Telegram "ít nghiêm trọng hơn một vài mức độ" so với WhatsApp.

Tuy nhiên, các nhà nghiên cứu bảo mật cho rằng, sự thiếu an toàn của ứng dụng web là khá rõ ràng, và người dùng được khuyên chuyển qua ứng dụng mobile hay desktop chuyên dụng. "Những người sành công nghệ hay làm việc trong lĩnh vực an ninh bảo mật ... Không sử dụng phiên bản web" của các ứng dụng nhắn tin mã hoá đầu cuối. Các ứng dụng di động được mã hoá là dành cho smartphone của bạn" -Zeynep Tufekci, giáo sư trường Đại học North, cho biết.

Cập nhật tin tức công nghệ mới nhất tại fanpage Công nghệ & Cuộc sống

Nguồn tin:

 

Tham gia bình luận