Nhiều ứng dụng tin nhắn phổ biến dính lỗi bảo mật về tính năng xem trước link như iMessage, Viber, WhatsApp..

Cuối tuần qua, các nhà nghiên cứu an ninh mạng đã tiết lộ những rủi ro bảo mật  liên quan đến tính năng link preview (xem trước liên kết) trong các ứng dụng nhắn tin phổ biến. Tính năng này có nguy cơ làm rò rỉ địa chỉ IP, lộ đường link trong các cuộc trò chuyện được mã hóa đầu cuối, và thậm chí lén lút tải xuống hàng gigabyte dữ liệu của người dùng.

“Đường link được chia sẻ trong các cuộc trò chuyện có thể chứa những thông tin nhạy cảm được gửi riêng cho người nhận,” hai chuyên gia bảo mật Talal Haj Bakry và Tommy Mysk cho biết.

“Đó có thể là hóa đơn, hợp đồng, hồ sơ y tế hoặc bất cứ thông tin cá nhân nào khác.”

“Các ứng dụng dựa vào máy chủ để tạo link preview có thể vi phạm quyền riêng tư của người dùng nếu nó gửi đường link được chia sẻ trong các cuộc trò chuyện riêng tư về máy chủ của mình.”

Tạo link preview ở phía người gửi hoặc người nhận

Link preview là một tính năng phổ biến trên hầu hết các ứng dụng nhắn tin. Nó giúp người dùng có một cái nhìn trực quan về nội dung, kèm theo mô tả ngắn gọn về liên kết được chia sẻ.

Mặc dù các ứng dụng như Signal và Wire cho phép người dùng tùy chọn bật/tắt tính năng này, một số ứng dụng khác như Threema, TikTok hay WeChat hoàn toàn không có tính năng link preview.

Các ứng dụng có tính năng này thường tạo bản preview ở cả phía người gửi lẫn người nhận liên kết, hoặc sử dụng một máy chủ bên ngoài để tạo link preview cho cả người gửi và người nhận.

Link preview ở phía người gửi (sender-side link preview) thường được sử dụng trong các ứng dụng như Apple iMessage, Signal (nếu tính năng được bật), Viber, và WhatsApp. Nó hoạt động bằng cách tải xuống đường link, tạo hình ảnh xem trước và bản tóm tắt ngắn, sau đó gửi đến người nhận dưới dạng tập tin đính kèm. Khi ứng dụng ở đầu bên kia nhận được bản preview, nó sẽ hiển thị mô tả ngắn gọn mà không cần mở đường link, từ đó bảo vệ người dùng khỏi các liên kết độc hại.

“Cách tiếp cận này giả định rằng bất kỳ ai đang gửi đường link đều phải tin tưởng nó, do chính ứng dụng của người gửi sẽ phải mở đường link này,” các nhà nghiên cứu cho biết.

Ngược lại, các link preview được tạo ở phía người nhận (recipient-side link preview) tiềm ẩn những rủi ro bảo mật nguy hiểm. Nó cho phép kẻ xấu biết được vị trí gần đúng của người dùng mà không cần bất cứ tương tác nào từ người nhận, đơn giản bằng cách gửi một đường link đến máy chủ mà chúng kiểm soát.

Điều này xảy ra là do các ứng dụng nhắn tin, khi nhận được một tin nhắn có chứa đường link, sẽ tự động mở URL để tạo bản preview bằng cách tiết lộ địa chỉ IP của điện thoại trong một request gửi đến máy chủ.

Theo các nhà nghiên cứu, Reddit Chat và một ứng dụng không được tiết lộ hiện đang “trong quá trình khắc phục sự cố” bị phát hiện đã hoạt động theo cách này.

Sử dụng máy chủ bên ngoài để tạo link preview

Cuối cùng, việc sử dụng máy chủ bên ngoài để tạo bản preview mặc dù có thể giảm thiểu các vấn đề liên quan đến rò rỉ địa chỉ IP, nhưng lại làm nảy sinh một vấn đề mới: Máy chủ được sử dụng để tạo bản preview có giữ lại bản sao không, và nếu có, thì trong bao lâu và nó được sử dụng để làm gì?

Một loạt ứng dụng nổi tiếng như Discord, Facebook Messenger, Google Hangouts, Instagram, LINE, LinkedIn, Slack, Twitter và Zoom đang hoạt động theo cách này. Tuy nhiên chúng không hề đưa ra bất cứ thông báo nào tới người dùng rằng “các máy chủ đang tải xuống mọi thông tin mà nó tìm thấy trên các đường link của họ.”

Các nhà nghiên cứu đã thử nghiệm các ứng dụng này và nhận thấy rằng ngoại trừ Facebook Messenger và Instagram, tất cả các ứng dụng khác đều áp đặt giới hạn tải xuống tối đa 15-50 MB dữ liệu cho máy chủ của họ. Chẳng hạn như Slack lưu giữ link preview trong khoảng 30 phút.

Còn kẻ ngoại lệ như Facebook Messenger và Instagram thì được phát hiện tải xuống toàn bộ dữ liệu file, ngay cả khi chúng có kích thước lên đến hàng gigabyte, chẳng hạn một file chứa đến 2,6 GB dữ liệu.

Theo các nhà nghiên cứu đây nhiều khả năng sẽ trở thành một “cơn ác mộng về quyền riêng tư” cho người dùng, nếu máy chủ của những công ty này lưu giữ bản sao của các tài liệu và không may bị ảnh hưởng bởi một cuộc tấn công rò rỉ dữ liệu.

Theo The Hacker News