WhatsApp giới thiệu tính năng xác minh thiết bị mới để ngăn chặn tấn công chiếm đoạt tài khoản

www.tuoitre.vn -   11/04/2023 08:00:00 216

Ứng dụng nhắn tin tức thì phổ biến WhatsApp đã công bố một tính năng xác minh tài khoản mới để đảm bảo rằng phần mềm độc hại chạy trên thiết bị di động của người dùng không ảnh hưởng đến tài khoản của họ.

WhatsApp giới thiệu tính năng xác minh thiết bị mới để ngăn chặn tấn công chiếm đoạt tài khoản

"Phần mềm độc hại trên thiết bị di động là một trong những mối đe dọa lớn nhất đối với quyền riêng tư và bảo mật của mọi người hiện nay vì nó có thể lợi dụng điện thoại của bạn mà không có sự cho phép của bạn và sử dụng WhatsApp của bạn để gửi các tin nhắn không mong muốn", công ty thuộc sở hữu của Meta cho biết trong một thông báo.

Được gọi là Xác minh thiết bị, biện pháp bảo mật được thiết kế để giúp ngăn chặn các cuộc tấn công chiếm đoạt tài khoản (ATO) bằng cách chặn kết nối của tác nhân đe dọa và cho phép các mục tiêu lây nhiễm phần mềm độc hại sử dụng ứng dụng mà không bị gián đoạn.

Nói cách khác, mục tiêu là ngăn chặn việc kẻ tấn công sử dụng phần mềm độc hại để đánh cắp khóa xác thực WhatsApp và chiếm quyền điều khiển tài khoản nạn nhân, sau đó mạo danh họ để phân phối thư rác và liên kết lừa đảo đến các địa chỉ liên hệ khác.

Đổi lại, điều này đạt được bằng cách giới thiệu một mã thông báo bảo mật được lưu trữ cục bộ trên thiết bị, một nonce mã hóa để xác định xem ứng dụng khách WhatsApp có liên hệ với máy chủ để truy xuất tin nhắn đến hay không và một thử thách xác thực hoạt động như một "tiếng ping vô hình". " từ máy chủ đến thiết bị của người dùng.

Máy khách được yêu cầu gửi mã thông báo bảo mật mỗi khi nó kết nối với máy chủ để phát hiện các kết nối khả nghi. Về phần mình, mã thông báo bảo mật được cập nhật mỗi khi nó tải một tin nhắn ngoại tuyến từ máy chủ.

Thử thách xác thực được coi là lỗi khi ứng dụng khách phản hồi thử thách từ một thiết bị khác, cho thấy kết nối bất thường bắt nguồn từ kẻ tấn công. Điều này khiến kết nối bị chặn.

Nếu không có phản hồi từ máy khách, quy trình sẽ được thử lại "vài lần nữa", sau đó kết nối sẽ bị chặn nếu máy khách vẫn không phản hồi.

“Ba tham số này giúp ngăn phần mềm độc hại đánh cắp khóa xác thực và kết nối với máy chủ WhatsApp từ bên ngoài thiết bị của người dùng,” Attaullah Baig và Archis Apte của Meta giải thích.

WhatsApp cho biết Xác minh thiết bị đã được triển khai cho tất cả người dùng Android và nó đang trong quá trình triển khai cho người dùng iOS.

Tính năng này là một phần của tập hợp các cải tiến mới rộng hơn được thiết kế để xác thực và xác minh danh tính của người dùng, bao gồm hiển thị cảnh báo khi có nỗ lực di chuyển tài khoản WhatsApp từ thiết bị này sang thiết bị khác.

Cũng được WhatsApp ra mắt là tính năng Key Transparency để tự động xác nhận xem các cuộc trò chuyện có được mã hóa nối đầu hay không mà không yêu cầu người dùng thực hiện thêm bất kỳ hành động nào.

Để làm như vậy, nó đang triển khai Danh mục khóa có thể kiểm tra (AKD) mới dựa trên các giao thức hiện có như CONIKS và SEEMless để giúp người dùng xác minh tính bảo mật của cuộc trò chuyện của họ.

Công ty cho biết: “AKD sẽ cho phép các ứng dụng khách WhatsApp tự động xác thực rằng khóa mã hóa của người dùng là chính hãng và cho phép mọi người xác minh bằng chứng kiểm toán về tính chính xác của thư mục”.

Quá trình xác minh hiện yêu cầu người dùng trong cuộc trò chuyện so sánh mã bảo mật theo cách thủ công (tồn tại dưới dạng mã QR và số có 60 chữ số) bằng cách gửi mã đó cho người tham gia ở đầu bên kia qua SMS hoặc email hoặc cách khác bằng cách quét mã QR nếu các bên ở bên cạnh nhau.

Mã bảo mật không là gì ngoài hàm duy nhất của cả cặp khóa công khai/riêng tư được tạo để hỗ trợ nhắn tin được mã hóa đầu cuối. Phức tạp hơn nữa, nó có thể thay đổi khi người dùng chuyển đổi thiết bị hoặc cài đặt lại WhatsApp.

Tính minh bạch của khóa hợp lý hóa quy trình xác minh bằng cách sử dụng quy trình tự động giúp loại bỏ nhu cầu về mã dài, thay vào đó duy trì bản ghi các thay đổi khóa công khai trong một thư mục và cho phép khách hàng kiểm tra nó.

Meta giải thích: "Tính minh bạch của khóa mô tả một giao thức trong đó máy chủ [WhatsApp] duy trì bản ghi chỉ nối thêm về ánh xạ giữa tài khoản của người dùng và khóa nhận dạng công khai của họ". "Điều này cho phép tạo ra các bằng chứng bao gồm để khẳng định rằng một ánh xạ nhất định tồn tại trong thư mục tại thời điểm cập nhật gần đây nhất."

WhatsApp dự định sẽ làm cho tính năng này hoạt động trong những tháng tới, mặc dù nó đã lưu trữ và vận hành Danh mục khóa có thể kiểm tra của tất cả người dùng. "Đây là một cơ chế quan trọng giúp trao quyền cho người dùng có ý thức bảo mật xác minh cuộc trò chuyện cá nhân được mã hóa đầu cuối một cách nhanh chóng", công ty cho biết thêm.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Hội nghị đại lý “Let’s go Next: cybersec...

09/05/2024 10:00:00 153
Chiều ngày 7/5, Kaspersky đã có buổi hội nghị đại lý “Let’s go Next: cybersecurity redefined” tại So...

Họp báo ra mắt dòng sản phẩm chủ lực mới...

09/05/2024 09:00:00 73
Ngày 7/5, Kaspersky tự hào ra mắt giải pháp XDR tiên tiến Kaspersky Next, đồng thời chuyển đổi toàn ...

Google đã ngăn chặn 2,28 triệu ứng dụng ...

29/04/2024 08:00:00 222
Google hôm thứ Hai tiết lộ rằng gần 200.000 ứng dụng gửi tới Play Store dành cho Android đã bị từ ch...

Nhiều ứng dụng AI bị Apple gỡ khỏi App S...

29/04/2024 12:00:00 218
Apple đang tiến hành xử lý một danh mục ứng dụng tạo hình ảnh AI “quảng cáo khả năng tạo ra hình ảnh...

Để kiếm tiền từ Generative AI, các hãng ...

26/04/2024 12:00:00 274
Chi phí đằng sau Generative AI thực sự khá cao, vì nó đòi hỏi nhiều sức mạnh xử lý để đào tạo và vận...

Lỗ hổng bảo mật lớn phơi bày thao tác gõ...

25/04/2024 08:00:00 141
Các lỗ hổng bảo mật được phát hiện trong các ứng dụng bàn phím bính âm dựa trên đám mây có thể bị kh...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ