Mã hoá end-to-end đóng vai trò quan trọng trong việc bảo vệ các dịch vụ nhắn tin chống lại nghe lén trên mạng, những máy chủ bị kẻ xấu kiểm soát. Mục đích chính của nó là đảm bảo rằng, ngay cả những công ty hay máy chủ truyền nhận dữ liệu cũng không thể giải mã các tin nhắn. Tuy nhiên, đến nay ngay cả những dịch vụ nhắn tin có dịch vụ mã hoá end-to-end như WhatsApp, Threema và Signal cũng chưa đạt tới khả năng đó.
Theo mô tả, máy chủ đóng vai trò hạn chế trong các cuộc trao đổi trực tiếp giữa hai người dùng với nhau, nhưng trong trường hợp các nhóm trao đổi nhiều người (khi các thông điệp mã hoá được chuyển tới nhiều người dùng), thì vai trò của máy chủ tăng lên tới mức có thể quản lý toàn bộ tiến trình. Và điều đó dẫn đến vấn đề về bảo mật: các nhóm phải tin vào máy chủ của công ty cung cấp dịch vụ trong việc quản lý các thành viên của nhóm – những người sẽ có quyền truy cập mọi cuộc trao đổi.
Theo tài liệu mới được công bố của RUB, vì Signal và WhatsApp đều không thể xác thực chính xác người đang thêm thành viên mới vào nhóm, nên một người không phải là quản trị nhóm, thậm chí không phải thành viên của nhóm cũng có thể thêm một người vào nhóm đó. Hơn thế nữa, việc thêm một thành viên mới vào nhóm còn không hiển thị thông báo trực quan cho những thành viên khác. Theo các nhà nghiên cứu, một người quản trị máy chủ có ý đồ xấu có thể thay đổi hay chặn các thông báo về việc bổ sung thành viên mới vào nhóm.
Điểm yếu của hệ thống là cho phép người kiểm soát máy chủ WhatsApp (hoặc kẻ có thể phá vỡ giao thức truyền tin TLS) kiểm soát toàn diện các nhóm. Thông thường, việc thêm người vào nhóm sẽ hiển thị thông báo trên giao diện người dùng. Tuy nhiên, máy chủ WhatsApp có thể lưu các thông điệp, đọc nội dung và quyết định thứ tự gửi thông tin tới các thành viên. Thêm vào đó, máy chủ WhatsApp có thể chuyển tiếp các thông điệp một cách khéo léo để che giấu các hoạt động.
WhatsApp đã thừa nhận vấn đề và xác nhận rằng, nếu có thành viên mới được thêm vào nhóm thì những thành viên khác sẽ nhận được thông báo. Các nhà nghiên cứu cũng khuyến cáo các công ty khắc phục vấn đề bằng cách bổ sung một cơ chế xác thực để đảm bảo rằng, các thông điệp nhóm “được ký” chỉ tới từ những người quản trị nhóm.
Nguyễn Anh Tuấn
Theo The Hacker News
09:00 | 19/12/2019
13:00 | 05/05/2020
09:00 | 09/08/2024
Theo thông báo được Thủ tướng Pháp Gabriel Attal đưa ra ngày 31/7, Cơ quan An ninh nước này đã phát hiện và ngăn chặn hàng chục vụ tấn công mạng liên quan đến Olympic Paris 2024.
16:00 | 06/08/2024
Nhóm tin tặc Stargazer Goblin thực hiện phân phối dưới dạng dịch vụ (DaaS) phần mềm độc hại từ hơn 3.000 tài khoản giả mạo trên GitHub.
08:00 | 22/07/2024
Ba lỗ hổng bảo mật được phát hiện trong ứng dụng quản lý thư viện CocoaPods cho các dự án Cocoa Swift và Objective-C có thể bị khai thác để thực hiện các cuộc tấn công chuỗi cung ứng phần mềm, gây ra rủi ro nghiêm trọng đối với người dùng cuối.
10:00 | 14/05/2024
Bộ Quốc phòng Anh vừa tiết lộ một vụ vi phạm dữ liệu tại hệ thống trả lương của bên thứ ba làm lộ dữ liệu của 272 nghìn quân nhân và cựu chiến binh trong lực lượng vũ trang.
Cục Điều tra Liên bang Mỹ (FBI) mới đây đã đưa ra thông báo về sự cố gián đoạn cơ sở hạ tầng trực tuyến liên quan đến một nhóm tin tặc mã độc tống tiền mới nổi có tên là Dispossessor. Trong một nỗ lực nhằm giảm thiểu rủi ro do nhóm tội phạm này gây ra, FBI đã thu giữ 03 máy chủ tại Mỹ, 03 máy chủ tại Anh, 18 máy chủ tại Đức, 08 tên miền tại Mỹ và 01 tên miền tại Đức.
21:00 | 29/08/2024