Hacker khai thác các ứng dụng nhắn tin mã hóa thông qua trình duyệt web

Các nhà nghiên cứu bảo mật của hãng Check Point vừa công bố một kỹ thuật mới có thể qua mặt mã hóa đầu cuối (end-to-end) của ứng dụng nhắn tin WhatsApp, ngoài ra, những cuộc tấn công cũng nhắm vào các ứng dụng được mã hóa đầu cuối khác, dấy lên mối lo ngại về độ an toàn của các ứng dụng nhắn tin hiện nay.

Mã hoá được đánh giá là công nghệ bảo mật tốt nhất hiện nay, tuy nhiên, một số cuộc tấn công gần đây nhắm vào phiên bản web của ứng dụng nhắn tin WhatsApp cho thấy, chỉ với một vài mã độc không an toàn cũng có thể qua mặt được những mật khẩu khó nhất, cũng như công nghệ bảo mật tốt nhất này.

Điểm yếu trên ứng dụng web

Mặc dù cả WhatsApp và Telegram đã cập nhật, vá lỗ hổng thông qua các bản cập nhật nhanh, tuy nhiên, những lỗ hổng bảo mật này có thể khiến hàng triệu người dùng bị hacker độc trộm tin nhắn.

Các nhà nghiên cứu bảo mật cho rằng, các cuộc tấn công còn nhắm tới các điểm yếu khác vốn có trong phiên bản web của những dịch vụ nhắn tin được cho là an toàn. Bởi vậy, khi nói đến tính riêng tư, các ứng dụng trên điện thoại thông minh, đặc biệt là tin nhắn, được đánh giá là an toàn hơn so với trên web.

Oded Vanunu, chuyên gia bảo mật của Check Point cho biết các cuộc tấn công đã tận dụng những sai sót trong hai ứng dụng để thực hiện xác nhận đầu vào, quá trình này nhằm bảo đảm tất cả các ảnh hoặc video là một loại file chứ không phải là một đoạn mã có thể chạy các lệnh nguy hiểm tiềm tàng trong trình duyệt của người dùng.

Mỗi ứng dụng web, cho dù đó là Facebook hay ứng dụng của ngân hàng, đều phải bảo đảm rằng bất cứ thông tin gì mà người dùng nhập vào hay tải lên đều phải là loại tập tin được cho phép sử dụng. Một khi hacker vượt qua được yêu cầu xác thực này, trình duyệt sẽ chạy bất kỳ loại dữ liệu nào mà hacker cung cấp cho nó.

Ngoài ra, ngôn ngữ lập trình web là Javascript cũng cho phép nhận dữ liệu mới, biên dịch mã mới để bổ sung hay thậm chí ghi đè chức năng trong một ứng dụng, trong khi ứng dụng trên điện thoại di động hay máy tính để bàn phải được biên dịch trước khi cài đặt. Đây là lý do tại sao các lỗ hổng bảo mật trên có thể tồn tại và đó là điểm yếu đặc biệt của các ứng dụng web.

Các trường hợp đặc biệt

Điều đó không có nghĩa là những lỗ hổng của ứng dụng trên nền web mà Check Point vừa phát hiện ra đều xuất hiện thường xuyên. Các nhà nghiên cứu bảo mật của Check Point đều cho rằng lỗ hổng trên ứng dụng WhatsApp là rất nghiêm trọng nhưng hiếm gặp. Tuy đây không phải là một cuộc tấn công mới nhưng nó lại là kiểu tấn công ấn tượng và rất thông minh.

Hãng WhatsApp đã cập nhật và xử lý lỗ hổng trong vòng chưa đầy một ngày kể từ khi công ty được thông báo. Tuy nhiên, hãng cũng kêu gọi người dùng nên khởi động lại các trình duyệt để bảo đảm rằng tài khoản của họ được bảo vệ.

Các nhà nghiên cứu bảo mật khuyến cáo, sự thiếu an toàn của ứng dụng web là rất rõ ràng và người dùng được khuyến cáo nên chuyển qua sử dụng ứng dụng trên điện thoại di động hay máy tính để bàn. Đặc biệt những người làm trong lĩnh vực công nghệ thông tin, cũng như trong an ninh bảo mật - không nên sử dụng phiên bản web với các ứng dụng tin nhắn mã hoá đầu cuối và thay vào đó nên sử dụng các ứng dụng mã hóa dành riêng cho điện thoại di động.

Theo ANH NGỌC / NDĐT