Lỗi trên WhatsApp cho phép kẻ tấn công xem các nhóm chat mã hóa

Chỉ mới đầu năm 2018, người dùng WhatsApp và Signal có thể phải đối mặt với tình trạng kẻ tấn công có thể bí mật nghe lén các cuộc trò chuyện nhóm được mã hóa từ đầu đến cuối trên ứng dụng của mình.

Giao thức mã hóa đầu cuối (end-to-end) đóng một vai trò cực kỳ quan trọng trong việc đảm bảo độ bảo mật cho các dịch vụ nhắn tin nhanh nhằm chống lại các cuộc tấn công từ người dùng độc hại, kẻ tấn công mạng và các server máy chủ độc hại.

Mục đích chính của nó là ngừng việc tin cậy các máy chủ trung gian theo cách là không ai, công ty, hay bất kỳ máy chủ truyền dữ liệu nào có thể giải mã tin nhắn của người dùng trên dịch vụ nhắn tin, hoặc lạm dụng vị trí trung gian để thao túng dịch vụ.

Tuy nhiên đến nay, các dịch vụ nhắn tin mã hóa đầu cuối như WhatsApp, Threema và Signal vẫn chưa hoàn toàn đạt được chuẩn hệ thống này.

Các nhà nghiên cứu từ Ruhr-Universität Bochum (RUB) ở Đức đã phát hiện ra rằng bất cứ ai điều khiển máy chủ WhatsApp / Signal đều có thể bí mật thêm thành viên mới vào bất cứ nhóm tư nhân nào và cho phép họ gián điệp trong các cuộc trò chuyện nhóm, thậm chí là không hề có sự cho phép của các quản trị viên.

Theo các nhà nghiên cứu miêu tả, trong hình thức giao tiếp theo cặp (tức chỉ có hai người dùng giao tiếp với nhau) máy chủ chỉ đóng một vai trò hạn chế, trong khi đó nếu chat cùng lúc nhiều người (chat nhóm – nơi mà các tin nhắn của nhiều thành viên được mã hóa và đưa đến nhiều người dùng dùng lúc) vai trò của máy chủ được tăng lên để quản lý toàn bộ quá trình.

Và đó là nơi phát sinh ra vấn đề, như là tin tưởng các máy chủ của công ty để quản lý các thành viên trong nhóm (những người dùng cuối có đầy đủ quyền truy cập của cuộc trò chuyện nhóm) và hành động của họ.

Trong bài giải thích mới nhất của bài báo RUB mới xuất bản với tựa đề "More is Less: On the End-to-End Security of Group Chats in Signal, WhatsApp, and Threema”, cả ứng dụng Signal và WhatsApp đều không thành công trong việc xác thực được ai đang thêm mới thành viên trong nhóm, có thể cho phép cả một người không được phép để thêm một người vào cuộc trò chuyện, dù cho không phải là quản trị viên nhóm hoặc thậm chí còn không phải là một thành viên của nhóm đi nữa.

Không những vậy, theo các nhà nghiên cứu, một quản trị viên phá hoại hoặc một nhân viên gián điệp có quyền truy cập vào máy chủ hoàn toàn có thể thao tác hoặc chặn các tin nhắn quản lý nhóm mà thường là những tin này sẽ báo cho toàn bộ thành viên trong nhóm biết có một thành viên mới. Do đó, các thành viên trong nhóm sẽ không hề hay biết đang có kẻ gian đang theo dõi cuộc trò chuyện của họ.

WhatsApp thừa nhận rằng đã biết về vấn đề này nhưng vẫn cho rằng nếu có bất kỳ thành viên nào mới vào nhóm,chắc chắn sẽ có người trong nhóm phát hiện được.

Thế nhưng nếu không phải trong 1 nhóm ít người và lựa chọn tỉ mỉ, liệu người dùng có dễ dàng phát hiện những người dùng mới được thêm vào một cách dễ dàng?

Các chuyên gia khuyên các công ty nên khắc phục vấn đề bằng cách thêm một cơ chế xác thực để đảm bảo rằng các thư quản lý nhóm chỉ đến từ quản trị viên của nhóm. Nhưng dù sao thì cuộc tấn công này cũng không dễ dàng đề thực hiện, do đó, người dùng cũng không nên quá lo lắng về nó.

Minh Hương