Mã hoá end-to-end đóng vai trò quan trọng trong việc bảo vệ các dịch vụ nhắn tin chống lại nghe lén trên mạng, những máy chủ bị kẻ xấu kiểm soát. Mục đích chính của nó là đảm bảo rằng, ngay cả những công ty hay máy chủ truyền nhận dữ liệu cũng không thể giải mã các tin nhắn. Tuy nhiên, đến nay ngay cả những dịch vụ nhắn tin có dịch vụ mã hoá end-to-end như WhatsApp, Threema và Signal cũng chưa đạt tới khả năng đó.
Theo mô tả, máy chủ đóng vai trò hạn chế trong các cuộc trao đổi trực tiếp giữa hai người dùng với nhau, nhưng trong trường hợp các nhóm trao đổi nhiều người (khi các thông điệp mã hoá được chuyển tới nhiều người dùng), thì vai trò của máy chủ tăng lên tới mức có thể quản lý toàn bộ tiến trình. Và điều đó dẫn đến vấn đề về bảo mật: các nhóm phải tin vào máy chủ của công ty cung cấp dịch vụ trong việc quản lý các thành viên của nhóm – những người sẽ có quyền truy cập mọi cuộc trao đổi.
Theo tài liệu mới được công bố của RUB, vì Signal và WhatsApp đều không thể xác thực chính xác người đang thêm thành viên mới vào nhóm, nên một người không phải là quản trị nhóm, thậm chí không phải thành viên của nhóm cũng có thể thêm một người vào nhóm đó. Hơn thế nữa, việc thêm một thành viên mới vào nhóm còn không hiển thị thông báo trực quan cho những thành viên khác. Theo các nhà nghiên cứu, một người quản trị máy chủ có ý đồ xấu có thể thay đổi hay chặn các thông báo về việc bổ sung thành viên mới vào nhóm.
Điểm yếu của hệ thống là cho phép người kiểm soát máy chủ WhatsApp (hoặc kẻ có thể phá vỡ giao thức truyền tin TLS) kiểm soát toàn diện các nhóm. Thông thường, việc thêm người vào nhóm sẽ hiển thị thông báo trên giao diện người dùng. Tuy nhiên, máy chủ WhatsApp có thể lưu các thông điệp, đọc nội dung và quyết định thứ tự gửi thông tin tới các thành viên. Thêm vào đó, máy chủ WhatsApp có thể chuyển tiếp các thông điệp một cách khéo léo để che giấu các hoạt động.
WhatsApp đã thừa nhận vấn đề và xác nhận rằng, nếu có thành viên mới được thêm vào nhóm thì những thành viên khác sẽ nhận được thông báo. Các nhà nghiên cứu cũng khuyến cáo các công ty khắc phục vấn đề bằng cách bổ sung một cơ chế xác thực để đảm bảo rằng, các thông điệp nhóm “được ký” chỉ tới từ những người quản trị nhóm.
Nguyễn Anh Tuấn
Theo The Hacker News
09:00 | 19/12/2019
13:00 | 05/05/2020
09:00 | 24/02/2025
Vụ tấn công lớn nhất lịch sử tiền mã hóa đã diễn ra vào ngày 21/2, khi ví Bybit đã bị hacker lấy đi số ETH trị giá 1,46 tỷ USD. Trước đó, Bybit thu hút giới đầu tư tiền mã hóa bởi việc tuyên bố không niêm yết Pi và ám chỉ rằng đó là dự án lừa đảo.
10:00 | 14/02/2025
Một chiến dịch phần mềm độc hại mới có tên là SparkCat đã tận dụng một loạt ứng dụng giả mạo trên cửa hàng ứng dụng của Apple và Google để đánh cắp Seed Phrase (một tập hợp các chữ cái cho phép người dùng truy cập, hoặc khôi phục các ví điện tử đã tạo trước đó) của nạn nhân.
17:00 | 28/01/2025
Nhóm tin tặc người Nga Star Blizzard được cho là có liên quan đến một chiến dịch lừa đảo trực tuyến mới nhắm vào tài khoản WhatsApp của nạn nhân, đánh dấu sự thay đổi so với phương thức tấn công lâu đời của nhóm này nhằm mục đích tránh bị phát hiện.
13:00 | 03/01/2025
Ít nhất 5 tiện ích mở rộng của Chrome đã bị xâm phạm trong một cuộc tấn công mạng tinh vi, trong đó kẻ tấn công đã chèn mã đánh cắp thông tin nhạy cảm của người dùng.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Ngày 17/3, Tổng thống Mexico Claudia Sheinbaum xác nhận một trong những thiết bị di động của bà đã bị tin tặc tấn công vài ngày trước, song cơ quan an ninh thông tin đã vào cuộc và vô hiệu hóa thành công cuộc tấn công này.
14:00 | 19/03/2025
