Nghiên cứu chỉ ra những ứng dụng nhắn tin làm rò rỉ dữ liệu của người dùng, hao pin

16:05 | 03/11/2020
Nguyễn Anh Tuấn (theo Ars Technica)

SAO BT XONG MÀ VẪN KHÔNG CHỌN "LOẠI BOX" NÀO?,Xem trước liên kết là một tính năng phổ biến được tìm thấy ở hầu hết các ứng dụng trò chuyện và nhắn tin và đó là tính năng có lý do chính đáng. Nó làm cho các cuộc trò chuyện trực tuyến dễ dàng hơn bằng cách cung cấp hình ảnh và văn bản của liên kết được trích dẫn.

Thật không may, tính năng xem trước liên kết  có thể làm rò rỉ dữ liệu nhạy cảm của người dùng, tiêu thụ băng thông hạn chế, tiêu hao pin vàlàm lộ các liên kết trong các cuộc trò chuyện được mã hóa đầu cuối. Theo nghiên cứu được công bố mới đây, những ứng dụng nhắn tin tồi tệ nhất là của Facebook, Instagram, LinkedIn và Line.

Khi người gửi cho một liên kết vào tin nhắn, ứng dụng sẽ hiển thị một đoạn văn bản (thường là dòng tiêu đề) và hình ảnh đi kèm với liên kết cùng với cuộc trò chuyện kiểu như sau:

Để làm được điều này, bản thân ứng dụng hoặc proxy được ứng dụng chỉ định phải truy cập liên kết, mở tệp và xem xét những gì trong đó. Điều này có thể khiến người dùng bị tấn công. Nghiêm trọng nhất là có thể tải xuống phần mềm độc hại. Các hình thức ác ý khác có thể buộc một ứng dụng tải xuống các tệp quá lớn khiến ứng dụng gặp sự cố, tiêu hao pin hoặc tiêu thụ lượng băng thông hạn chế. Trong trường hợp liên kết dẫn đến các tài liệu riêng tư. Ví dụ, tờ khai thuế được đăng lên tài khoản OneDrive hoặc DropBox riêng tư, máy chủ ứng dụng có cơ hội xem và lưu trữ dữ liệu đó vô thời hạn.

Các nhà nghiên cứu Talal Haj Bakry và Tommy Mysk, phát hiện ra rằng Facebook Messenger và Instagram là những ứng dụng vi phạm tồi tệ nhất. Như bảng bên dưới cho thấy, cả hai ứng dụng đều tải xuống và sao chép toàn bộ tệp được liên kết ngay cả khi nó có kích thước hàng gigabyte. Một lần nữa, đây có thể là một mối lo ngại nếu tệp được dẫn liên kết là thứ mà người dùng muốn giữ riêng tư. Ngoài ra, ứng dụng instagram khiến mọi JavaScript được kết nối với liên kết chạy trên máy chủ xem trước.

Haj Bakry và Mysk đã báo cáo phát hiện của họ cho Facebook và công ty cho biết cả hai ứng dụng đều hoạt động đúng như dự kiến của nhà phát triển. Chủ sở hữu Instagram, Facebook cho biết trong một email rằng máy chủ của họ chỉ tải xuống phiên bản giảm tỷ lệ của hình ảnh, không phải tệp gốc và công ty không lưu trữ dữ liệu đó. Email cũng cho biết các máy chủ của nó chạy JavaScript để kiểm tra tính bảo mật của nó. Tuy nhiên, Mysk nói rằng video của họ cho thấy Instagram đã tải xuống toàn bộ tệp 2,6GB (một ISO Ubuntu với tệp được đổi tên thành ubuntu.png). Ông cũng lưu ý rằng hầu hết các ứng dụng nhắn tin khác loại bỏ JavaScript thay vì tải xuống và chạy nó trên máy chủ của họ.

Ứng dụng LinkedInhoạt động tốt hơn một chút. Điểm khác biệt duy nhất của nó là, thay vì sao chép các tệp có kích thước bất kỳ, nó chỉ sao chép 50 megabyte đầu tiên.

Trong khi đó, khi ứng dụng Line mở một tin nhắn được mã hóa và tìm thấy một liên kết, dường như ứng dụng đã gửi liên kết đến máy chủ Line để tạo bản xem trước. “Chúng tôi tin rằng điều này đánh bại mục đích của mã hóa end-to-end, vì máy chủ LINE biết tất cả về các liên kết đang được gửi thông qua ứng dụng và ai đang chia sẻ liên kết nào với ai,” Haj Bakry và Mysk viết.

Discord, Google Hangouts, Slack, Twitter và Zoom cũng sao chép tệp, nhưng chúng giới hạn lượng dữ liệu trong khoảng từ 15MB đến 50MB.

Nhìn chung, nghiên cứu này là một tin tốt vì nó cho thấy rằng hầu hết các ứng dụng nhắn tin đang hoạt động đúng. Ví dụ: Signal, Threema, TikTok và WeChat đều cung cấp cho người dùng tùy chọn không nhận bản xem trước liên kết. Đối với những tin nhắn thực sự nhạy cảm và những người dùng muốn có nhiều quyền riêng tư nhất có thể, đây là cài đặt tốt nhất. Ngay cả khi cung cấp bản xem trước, các ứng dụng này đang sử dụng các phương tiện tương đối an toàn để hiển thị chúng.

Tuy nhiên, công bố của các nhà nghiên cứu là một lời nhắc nhở rằng tin nhắn riêng tư không phải lúc nào cũng riêng tư.

Các nhà nghiên cứu viết: “Bất cứ khi nào bạn đang xây dựng một tính năng mới, hãy luôn ghi nhớ nó có thể có những tác động riêng tư và bảo mật nào, đặc biệt nếu tính năng này sẽ được sử dụng bởi hàng nghìn hoặc thậm chí hàng triệu người trên thế giới”. “Xem trước liên kết là một tính năng hay mà người dùng thường được hưởng lợi, nhưng ở đây chúng tôi đã giới thiệu một loạt các vấn đề mà tính năng này có thể gặp phải khi các mối quan tâm về quyền riêng tư và bảo mật không được xem xét cẩn thận.”