Đây có lẽ là một Drama trong làng bảo mật của năm 2018 – khi người ngoài có thể bí mật nghe lén các cuộc trò chuyện nhóm được mã hóa đầu cuối trên ứng dụng nhắn tin WhatsApp và Signal của bạn.
Hiện nay, tính năng mã hóa đầu cuối đóng một vai trò quan trọng trong việc đảm bảo các dịch vụ nhắn tin. Mục đích chính của việc mã hóa đầu cuối là việc ngừng tin cậy những máy chủ trung gian theo cách mà không ai, thậm chí là công ty hoặc máy chủ truyền dữ liệu có thể giải mã tin nhắn của bạn hoặc lợi dụng vị trí trung gian để can thiệp vào dữ liệu của bạn. Điều đó có nghĩa rằng, không một ai có thể nghe trộm hoặc đọc được dữ liệu liên lạc được mã hóa đầu cuối của bạn.
Đáng buồn thay, một trong những dịch vụ tin nhắn mã hóa đầu cuối nổi tiếng nhất hiện nay là WhatsApp, Threema và Signal lại có những lỗ hổng zero day trong hệ thống dẫn tới việc tính năng mã hóa đầu cuối không còn được đảm bảo theo đúng nghĩa của nó.
Nhóm chuyên gia bảo mật tại Ruhr-Universität Bochum -Đức đã phát hiện ra lỗ hổng cho phép bất cứ ai kiểm soát được máy chủ WhatsApp/Signal có thể lén lút them một người dùng vào trong nhóm chat bí mật, cho phép họ có thể theo dõi cuộc trao đổi trong nhóm, thậm chí không cần phải có quyền quản trị.
Nhóm chuyên gia cho biết trong giao tiếp theo cặp (khi chỉ có hai người giao tiếp với nhau) máy chủ đóng một vai trò hạn chế nhưng trong trường hợp trò chuyện nhiều người (chat nhóm, nơi các tin nhắn được mã rồi chuyển đến rất nhiều người dùng) vai trò của máy chủ tăng lên đáng kể để quản lý toàn bộ quá trình. Vấn đề bắt đầu phát sinh từ đây khi người dùng buộc tin tưởng máy chủ công ty trong việc quản lý nhóm người (người có toàn bộ quyền để truy cập vào cuộc trò chuyện nhóm) và hành động của họ.
Như trong bản mô tả được công bố của nhóm chuyên gia bảo mật cho biết cả Signal và WhatsApp không chứng thực đúng cách ai đang thêm thành viên mới của nhóm và có thể cho một người không được phép hoặc không phải là quản trị viên của nhóm thậm chí là một thành viên của nhóm để thêm một người vào cuộc trò chuyện nhóm. Có thể bạn đang tự hỏi rằng việc thêm một thành viên mới vào nhóm sẽ hiện thị một thông báo trực quan cho các thành viên khác nhưng điều đó đã không xảy ra. Một quản trị viên có mục đích xây hoặc nhân viên có quyền truy cập vào máy chủ có thể thao tác (hoặc chặn) các tin nhắn quản lý nhóm mà có nghĩa vụ phải cảnh báo cho các thành viên của nhóm chat biết.
WhatsApp đã thừa nhận vấn đề này, nhưng lập luận rằng nếu có bất kỳ thành viên mới nào được thêm vào nhóm thì tất cả các thành viên của nhóm sẽ đều được thông báo. Nhưng nếu bạn không thuộc nhóm có nhiều thành viên thì chắc chắn nhiều người sẽ bỏ qua các thông báo này một cách dễ dàng.
Các chuyên gia bảo mật khuyên các công ty khắc phục vấn đề này bằng cách thêm một cơ chế xác thực để đảm bảo rằng các thông điểm quản lý nhóm được “ký” chỉ đến từ quản trị viên của nhóm. Tuy nhiên, người dùng thật may mắn khi cuộc tấn công này không dễ dàng (ngoại trừ nhà cung cấp dịch vụ gặp áp lực từ pháp lý) để thực hiện, vì vậy người dùng không nên lo lắng quá nhiều về nó).
Theo Genk
