Nhiều ứng dụng thông dụng như Tittok, Instagram dính lỗi bảo mật về tính năng xem trước link (Phần 2)

Một loạt ứng dụng nổi tiếng như Discord, Facebook Messenger, Google Hangouts, Instagram, LINE, LinkedIn, Slack, Twitter và Zoom đang hoạt động theo cách này. Tuy nhiên chúng không hề đưa ra bất cứ thông báo nào tới người dùng rằng “các máy chủ đang tải xuống mọi thông tin mà nó tìm thấy trên các đường link của họ.

Các nhà nghiên cứu đã thử nghiệm các ứng dụng này và nhận thấy rằng ngoại trừ Facebook Messenger và Instagram, tất cả các ứng dụng khác đều áp đặt giới hạn tải xuống tối đa 15-50 MB dữ liệu cho máy chủ của họ. Chẳng hạn như Slack lưu giữ link preview trong khoảng 30 phút.

Còn kẻ ngoại lệ như Facebook Messenger và Instagram thì được phát hiện tải xuống toàn bộ dữ liệu file, ngay cả khi chúng có kích thước lên đến hàng gigabyte, chẳng hạn một file chứa đến 2,6 GB dữ liệu.

Theo các nhà nghiên cứu đây nhiều khả năng sẽ trở thành một “cơn ác mộng về quyền riêng tư” cho người dùng, nếu máy chủ của những công ty này lưu giữ bản sao của các tài liệu và không may bị ảnh hưởng bởi một cuộc tấn công rò rỉ dữ liệu.

Hơn nữa, mặc dù tính năng mã hóa end-to-end (E2EE) của LINE được thiết kế để ngăn bên thứ ba nghe trộm các cuộc hội thoại, nhưng việc ứng dụng dựa vào máy chủ bên ngoài để tạo link preview sẽ cho phép “máy chủ LINE biết tất cả mọi thông tin về các đường link đang được gửi qua ứng dụng, cũng như biết rõ người dùng đang chia sẻ đường link với ai.”

LINE hiện tại đã cập nhật FAQ của mình để cảnh báo trước rằng “để có thể tạo URL preview, các đường link được chia sẻ trong các cuộc trò chuyện cũng sẽ được gửi đến máy chủ LINE”.

Ngoài ra, các nhà nghiên cứu còn phát hiện ra kẻ tấn công hoàn toàn có khả năng thực thi mã độc hại trên máy chủ link preview.  Chẳng hạn như một máy chủ có thể chạy những dòng code độc hại nếu một JavaScript code link được chia sẻ trên Instagram hoặc LinkedIn.

“Chúng tôi đã kiểm tra điều này bằng cách gửi một đường link đến một trang web trên máy chủ của mình. Đường link có chứa mã JavaScript này có thể dễ dàng thực hiện hàm callback trên máy chủ của chúng tôi,” các nhà nghiên cứu cho biết. “Chúng tôi đã có ít nhất 20 giây để thực thi trên các máy chủ này.”

Vấn đề quyền riêng tư và bảo mật của người dùng

Trước đây, hai nhà nghiên cứu Bakry và Mysk đã từng cảnh báo về các lỗ hổng bảo mật trên TikTok. Nó cho phép kẻ tấn công phát các video giả mạo, ngay cả trên các tài khoản đã được xác minh, bằng cách chuyển hướng ứng dụng đến một máy chủ có lưu trữ một bộ sưu tập các video giả mạo. Đầu tháng 3 vừa qua, bộ đôi này cũng đã phát hiện ra một vụ xâm nhập quyền riêng tư trên hơn 40 ứng dụng iOS của Apple. Những ứng dụng này bị phát hiện truy cập trái phép vào clipboard (bộ nhớ tạm) của người dùng mà không hề đưa ra bất cứ thông báo nào.

Vụ việc trên đã khiến Apple phải công bố một chức năng mới trong iOS 14 để cảnh báo người dùng mỗi khi ứng dụng cố gắng sao chép thông tin trên clipboard. Bên cạnh đó, “gã khổng lồ công nghệ” này cũng  bổ sung thêm những quyền hạn mới nhằm bảo vệ clipboard khỏi các truy cập không chính đáng từ các ứng dụng bên thứ ba.

“Chúng tôi nghĩ rằng vụ việc trên đã để lại một bài học lớn cho các nhà phát triển: bất cứ khi nào bạn xây dựng một tính năng mới, hãy luôn suy nghĩ cẩn trọng về những ảnh hưởng mà nó có thể gây ra với quyền riêng tư và bảo mật của người dùng, đặc biệt là khi tính năng này được sử dụng bởi hàng nghìn hay thậm chí hàng triệu người trên toàn cầu.”

“Link preview nhìn chung là một tính năng hữu ích với người dùng, nhưng khi những vấn đề về quyền riêng tư và bảo mật không được xem xét cẩn thận, tính năng này sẽ phản tác dụng và khiến người dùng phải đối mặt với những rủi ro rò rỉ dữ liệu nghiêm trọng.”

Theo The Hacker News