An toàn và bí mật riêng tư trong ứng dụng truyền hình hội nghị Zoom

10:48 | 27/07/2020

Trong những năm gần đây, đã có nhiều tiến bộ về các nền tảng hội nghị truyền hình như Skype, Google Hangouts và WhatsApp, khiến dễ dàng có được tương tác giữa hai điểm dù cho ở bất kỳ đâu trên toàn cầu. Một sản phẩm phần mềm hội nghị truyền hình đang được sử dụng rộng rãi ngày nay là phần mềm hội nghị mang tên Zoom Meetings của hãng Zoom Video Communications.

Zoom và hội nghị truyền hình

Trong thời đại tin học hóa phát triển như hiện nay, nhiều hoạt động hội họp được tiến hành trực tuyến mà không cần gặp nhau trực tiếp thông qua hệ thống mạng và phần mềm hội nghị. Hội nghị trực tuyến giúp các tổ chức/doanh nghiệp (TC/DN) hội họp mà không cần gặp gỡ trực tiếp, các thành viên không phải di chuyển với khoảng cách địa lý xa xôi. Đã xuất hiện thuật ngữ Telecommuter để chỉ những người làm việc tại nhà từ xa mà không cần phải đến công sở.

Vào tháng 6/2014, đã có 10 triệu người sử dụng Zoom Meetings. Đến tháng 2/2015, đã đạt đến 40 triệu cá nhân với 65 nghìn tổ chức đăng ký. Hãng đã tổ chức được 1 tỷ phút hội họp kể từ khi được thành lập vào năm 2011. Ngoài Zoom Meetings, còn có nhiều hệ thống phần mềm hội nghị của nhiều hãng khác nhau trên thị trường toàn cầu, bao gồm các phần mềm đóng và cả các phần mềm mở miễn phí cho mọi người sử dụng và phát triển. Phần mềm hội nghị đã mang lại những lợi ích không thể phủ nhận.

Vào đầu năm 2020, đại dịch COVID-19 xuất hiện và lan rộng ra khắp toàn  cầu  với  tốc độ lây nhiễm phi mã, thậm chí là cấp số nhân. Các quốc gia đã chọn giải pháp chống lây lan dịch bệnh là cách ly xã hội. Trong tình hình dịch bệnh COVID-19, thì làm việc tại nhà là phương pháp được các TC/DN ưu tiên. Nhiều hoạt động lao động sản xuất và sinh hoạt đã dựa vào hoạt động trực tuyến thông qua mạng toàn cầu và các phần mềm hội nghị truyền hình trực tuyến.

Tuy vậy, sự an toàn và quyền riêng tư khi sử dụng hội nghị truyền hình vẫn phải cần ưu tiên hàng đầu.

Các lỗ hổng an toàn của Zoom

Từ đầu năm 2020, việc sử dụng phần mềm Zoom đã tăng lên đột biến khi các trường học và công sở chấp thuận sử dụng nền tảng làm việc từ xa vì đại dịch COVID-19, tăng lên 67% từ đầu năm cho đến giữa tháng 3/2020. Khi đại dịch bùng phát, hàng nghìn cơ sở giáo dục cũng chuyển sang các lớp học trực tuyến sử dụng phần mềm Zoom trên toàn thế giới. Trong một ngày, phần mềm Zoom được tải xuống 343 nghìn lần và đạt tới 2,22 triệu người sử dụng vào các tháng đầu năm 2020, nhiều hơn so với cả năm 2019 gộp lại. Các vấn đề an toàn và riêng tư cũng vì vậy mà trở nên quan trọng hơn bao giờ hết.

Về vấn đề an toàn, hãng Zoom tuyên bố sử dụng lập mã AES-256 để bảo vệ kết nối kiểm soát TLS khởi đầu đến máy chủ Zoom, nhưng các luồng âm thanh và hình ảnh thực tế được gửi đi trên giao thức UDP không được lập mã đầu cuối đến điểm cuối. Zoom tuyên bố lập mã đầu cuối đến điểm cuối trong các tài liệu marketing, nhưng sau đó được làm rõ là chỉ tác dụng giữa các máy chủ Zoom mà thôi và việc này được coi là thiếu trung thực.

Vào tháng 8/2018, Natalie Silvanovich - nhà nghiên cứu Project Zero  của  Google  đã  tiết  lộ rằng, có những lỗ hổng nghiêm trọng trong  các cài đặt kiến trúc hội nghị truyền hình phổ biến nhất bao gồm WebRTC (được sử dụng bởi Chrome, Safari, Firefox, Facebook Messenger, Signal và các phần mềm khác), PJSIP (được sử dụng bởi WhatsApp) và thư viện có quyền sở hữu của Apple đối với FaceTime. Nếu bị khai thác, thì những lỗ hổng như vậy có thể cho phép tấn công chỉ với việc thiết lập một cuộc gọi truyền hình. Việc này kích hoạt tràn bộ nhớ heap, cho phép kẻ tấn công chiếm đoạt tài khoản của nạn nhân. Một kịch bản tấn công về mặt nguyên lý (Proof-of- Concept) đã được đưa ra đầy thuyết phục, tuy tấn công chưa xảy ra trên thực tế. Nhà nghiên cứu lỗ hổng bảo mật Tavis Ormandy cũng ủng hộ ý kiến của Silvanovich. Ngay sau khi các lỗ hổng được thông báo về cho WhatsApp và FaceTime thì đã được các hãng phát hành bản vá.

Đối với người sử dụng ứng dụng mua hàng trực tuyến, kẻ tấn công có thể tìm cách chiếm các tài khoản WhatsApp, FaceTime và các tài khoản khác như là một cách để truy cập dữ liệu cá nhân của họ. Đối với các hãng sử dụng các nền tảng hội nghị truyền hình là phương tiện để tiến hành hội họp, thì những kẻ tấn công có thể nghe trộm các cuộc trò chuyện công việc.

Vào tháng 11/2018, một lỗ hổng bảo mật đã được phát hiện, cho phép kẻ tấn công từ xa không xác thực có thể lừa các thông báo UDP từ một người tham gia hội nghị hay máy chủ Zoom, để thực hiện các chức năng tại máy khách mục tiêu. Điều này cho phép kẻ tấn công loại bỏ những người tham gia khỏi các cuộc họp, lừa các thông báo từ những người sử dụng, hay chiếm đoạt các màn hình chia sẻ. Một lỗ hổng khác cho phép máy khách truy cập tùy ý đến camera và microphone đã được phát hiện vào năm 2020.

Vào tháng 7/2019, lỗ hổng zero-day đã được phát hiện, cho phép một website bất kỳ ép buộc một người sử dụng macOS tham gia vào một cuộc gọi Zoom với camera hoạt động mà không cần người sử dụng cho phép. Ngoài ra, việc tắt máy khách Zoom trên macOS có thể nhắc phần mềm tái khởi động tự động trong nền, sau sử dụng máy chủ web ẩn được thiết lập trên máy tính trong quá trình cài đặt đầu tiên, và vẫn duy trì kích hoạt thậm chí sau khi cố gắng bỏ kích hoạt ở máy khách.

Sau khi nhận được chỉ trích công khai, Zoom đã cập nhật phần mềm để loại bỏ lỗ hổng và máy chủ web ẩn cho phép tắt hoàn toàn. Việc gia tăng sử dụng Zoom trong đại dịch COVID-19 khiến Zoom gia tăng rủi ro mất an toàn, thậm chí khiến thông tin đăng nhập của người sử dụng Windows bị lộ lọt. Những tấn công giả mạo liên quan đến Zoom được phát hiện như sự gia tăng các website và liên kết giả mạo Zoom để đánh cắp thông tin cá nhân. Zoom bombing cũng xuất hiện, chỉ việc một người không được mời tham gia vào một cuộc họp, gây ra gián đoạn hoạt động. Sự việc này đã gia tăng và buộc FBI phải đưa ra cảnh báo.

Đặc biệt, Zoom bombing cho phép kẻ xấu tham gia hội nghị truyền hình, đưa chèn vào các thông tin xấu, độc hại, không lành mạnh hay xuyên tạc, bằng hình ảnh và lời lẽ nhạy cảm, không phù hợp với học sinh, sinh viên đang tham gia học tập và làm việc. Sự việc này cần phải được loại bỏ ngay để giữ môi trường hội nghị truyền hình trong sạch, lành mạnh và hữu ích.

Bí mật riêng tư khi sử dụng Zoom

Hãng Zoom đã bị phê phán về các hoạt động thu thập dữ liệu, bao gồm thu thập và lưu trữ nội dung chứa trong các ghi chép đám mây và bảng trắng, các tệp, các thông báo nhanh… Những người quản trị có thể tham gia vào bất kỳ cuộc gọi nào vào bất cứ khi nào mà không cần sự đồng ý hay thông báo với những người tham gia cuộc gọi. Trong quá trình đăng ký tài khoản miễn phí của Zoom, chương trình yêu cầu người sử dụng cho phép chương trình nhận diện họ với thông tin cá nhân trên Google và thậm chí cho phép xóa vĩnh viễn các liên hệ Google của họ.

Việc sử dụng rộng rãi của Zoom trong giáo dục trực tuyến vì đại dịch COVID-19 khiến gia tăng mối lo ngại liên quan đến sự riêng tư dữ liệu của người học, đặc biệt là thông tin nhận dạng cá nhân của họ. Theo FBI, các địa chỉ IP, lịch sử truy cập, kết quả học tập và dữ liệu sinh trắc của người học có thể chịu rủi ro trong quá trình sử dụng các dịch vụ học tập trực tuyến tương tự. Việc sử dụng Zoom của các trường học phổ thông và đại học có thể làm gia tăng các vấn đề liên quan đến giám sát trái phép người học, cũng như vi phạm đến các quyền của người học theo luật pháp. Tuy hãng Zoom tuyên bố rằng, các dịch vụ hội nghị truyền hình tuân theo luật pháp và nó thu thập, lưu trữ dữ liệu người dùng chỉ là để hỗ trợ vận hành và kỹ thuật.

Ứng dụng iOS của Zoom đã bị phát hiện đang gửi dữ liệu phân tích thiết bị cho Facebook, dù tài khoản của Facebook có được sử dụng với dịch vụ này hay không, cũng như không thông báo điều này với người sử dụng. Ngày 27/3/2020, đại diện của Zoom đã phát biểu rằng, bộ công cụ phát triển (SDK) của Facebook đã thu thập dữ liệu thiết bị không cần thiết và rằng Zoom đã phát hành bản vá để loại bỏ SDK vì những lo ngại trên. Hãng cho rằng, SDK chỉ thu thập thông tin về các đặc tả thiết bị người sử dụng và không thu thập thông tin cá nhân.

Trong tháng 3/2020, Zoom đã bị kết tội tại Tòa án liên bang Hoa Kỳ đối với việc tiết lộ bất hợp pháp dữ liệu cá nhân cho các bên thứ ba bao gồm cả Facebook. Theo như kết tội, chính sách riêng tư của Zoom không giải thích cho những người sử dụng rằng ứng dụng này chứa mã chương trình làm tiết lộ thông tin cho Facebook và các bên thứ ba khác. Thiết kế chương trình và giải pháp bảo mật chưa toàn diện đã và sẽ gây ra sự tiết lộ trái phép thông tin cá nhân người sử dụng. Cùng tháng này, người đứng đầu tư pháp bang New York đã đưa ra chất vấn đối với các biện pháp bảo mật riêng tư của Zoom.

Những cập nhật mới nhất của Zoom

Theo thông báo kế hoạch bảo mật 90 ngày của Zoom, phiên bản Zoom 5.0 đã được ra mắt với một số biện pháp bảo mật và quyền riêng tư mới. Dịch vụ hội họp trực tuyến này đã hỗ trợ thêm chuẩn mã hóa AES 256-bit GCM để nâng cao bảo mật cho các cuộc họp. Phiên bản mới của Zoom được phát hành vào cuối tháng 4/2020 và toàn bộ tài khoản được hỗ trợ chuẩn mã hóa mới.

Theo Oded Gal, CPO của Zoom, từ hệ thống mạng cho tới các tính năng đều được thiết lập dựa theo trải nghiệm của người dùng và được đưa vào kiểm tra nghiêm ngặt. Ở khu vực back-end, chuẩn mã hóa AES 256-bit GCM sẽ nâng cao khả năng bảo mật dữ liệu của người dùng trong quá trình truyền tải chúng.

Ngoài tiêu chuẩn mã hóa AES 256-bit GCM, quản trị viên tài khoản Zoom có thể chọn khu vực trung tâm dữ liệu mà các cuộc hội thảo trên web được lưu trữ, sử dụng cho lưu lượng truy cập thời gian thực. Các tiêu chuẩn mã hóa và kiểm soát định tuyến dữ liệu mới được áp dụng, bao gồm bảo mật mạng. Zoom đã thêm một biểu tượng bảo mật mới trong thanh menu cuộc họp trên giao diện máy chủ lưu trữ. Máy chủ có thể tìm thấy tất cả tính năng bảo mật được nhóm lại một cách khoa học.

Ngoài ra, những tài khoản mới sẽ được quản lý chặt chẽ, một số tính năng bảo mật sẽ được thêm vào trong thời gian tới như tăng độ khó của mật khẩu cuộc họp, mật khẩu ghi âm trên đám mây, bảo mật tính năng Account Contact Sharing, cải tiến bảng điều khiển và nhiều tính năng khác.

TÀI LIỆU THAM KHẢO

[1]. Ronen Slavin, Hacking Video Conferencing Platforms - The Next Big Thing?

[2]. https://theintercept.com/2020/03/31/zoom-meeting-encryption/