Mã hoá end-to-end đóng vai trò quan trọng trong việc bảo vệ các dịch vụ nhắn tin chống lại nghe lén trên mạng, những máy chủ bị kẻ xấu kiểm soát. Mục đích chính của nó là đảm bảo rằng, ngay cả những công ty hay máy chủ truyền nhận dữ liệu cũng không thể giải mã các tin nhắn. Tuy nhiên, đến nay ngay cả những dịch vụ nhắn tin có dịch vụ mã hoá end-to-end như WhatsApp, Threema và Signal cũng chưa đạt tới khả năng đó.
Theo mô tả, máy chủ đóng vai trò hạn chế trong các cuộc trao đổi trực tiếp giữa hai người dùng với nhau, nhưng trong trường hợp các nhóm trao đổi nhiều người (khi các thông điệp mã hoá được chuyển tới nhiều người dùng), thì vai trò của máy chủ tăng lên tới mức có thể quản lý toàn bộ tiến trình. Và điều đó dẫn đến vấn đề về bảo mật: các nhóm phải tin vào máy chủ của công ty cung cấp dịch vụ trong việc quản lý các thành viên của nhóm – những người sẽ có quyền truy cập mọi cuộc trao đổi.
Theo tài liệu mới được công bố của RUB, vì Signal và WhatsApp đều không thể xác thực chính xác người đang thêm thành viên mới vào nhóm, nên một người không phải là quản trị nhóm, thậm chí không phải thành viên của nhóm cũng có thể thêm một người vào nhóm đó. Hơn thế nữa, việc thêm một thành viên mới vào nhóm còn không hiển thị thông báo trực quan cho những thành viên khác. Theo các nhà nghiên cứu, một người quản trị máy chủ có ý đồ xấu có thể thay đổi hay chặn các thông báo về việc bổ sung thành viên mới vào nhóm.
Điểm yếu của hệ thống là cho phép người kiểm soát máy chủ WhatsApp (hoặc kẻ có thể phá vỡ giao thức truyền tin TLS) kiểm soát toàn diện các nhóm. Thông thường, việc thêm người vào nhóm sẽ hiển thị thông báo trên giao diện người dùng. Tuy nhiên, máy chủ WhatsApp có thể lưu các thông điệp, đọc nội dung và quyết định thứ tự gửi thông tin tới các thành viên. Thêm vào đó, máy chủ WhatsApp có thể chuyển tiếp các thông điệp một cách khéo léo để che giấu các hoạt động.
WhatsApp đã thừa nhận vấn đề và xác nhận rằng, nếu có thành viên mới được thêm vào nhóm thì những thành viên khác sẽ nhận được thông báo. Các nhà nghiên cứu cũng khuyến cáo các công ty khắc phục vấn đề bằng cách bổ sung một cơ chế xác thực để đảm bảo rằng, các thông điệp nhóm “được ký” chỉ tới từ những người quản trị nhóm.
Nguyễn Anh Tuấn
Theo The Hacker News
09:00 | 19/12/2019
13:00 | 05/05/2020
09:00 | 19/04/2024
Theo nhận định của Cục An toàn thông tin (Bộ Thông tin và Truyền thông), trong thời gian gần đây các chiêu trò lừa đảo trực tuyến ngày càng gia tăng với các hình thức tinh vi hơn. Điều này khiến cho nhiều người dân khó nhận biết để phòng tránh nguy cơ mất an toàn thông tin.
10:00 | 28/03/2024
Các nhà nghiên cứu phát hiện nhóm ransomware ShadowSyndicate đang quét các máy chủ tồn tại lỗ hổng directory traversal định danh CVE-2024-23334, hay còn gọi là lỗ hổng path traversal trong thư viện Aiohttp của Python.
13:00 | 07/02/2024
Vừa qua, Trung tâm ứng cứu khẩn cấp máy tính Ukraine (CERT-UA) phát cảnh báo về việc hơn 2.000 máy tính ở nước này đã bị lây nhiễm một loại phần mềm độc hại có tên là DirtyMoe.
09:00 | 05/02/2024
Mới đây, công ty an ninh mạng ESET (Slovakia) báo cáo về việc một nhóm tin tặc gián điệp mạng của Trung Quốc đã thực hiện các chiến dịch tấn công mạng nhắm vào các cá nhân, tổ chức ở Trung Quốc và Nhật Bản. Bằng cách lợi dụng các lỗ hổng phần mềm để thao túng các bản cập nhật, các tin tặc đã phát tán mã độc và xâm phạm dữ liệu người dùng, đồng thời tạo các backdoor cho các cuộc tấn công trong tương lai.
Một hacker bị cáo buộc đã đánh cắp cơ sở dữ liệu quan trọng do Tập đoàn giao dịch chứng khoán Luân Đôn (LSEG) duy trì có chứa thông tin về những kẻ khủng bố, tội phạm tiềm năng và các cá nhân có nguy cơ cao hiện đang bị đe dọa rò rỉ hàng loạt dữ liệu nhạy cảm.
10:00 | 17/05/2024