WhatsApp giới thiệu tính năng xác minh thiết bị mới để ngăn chặn tấn công chiếm đoạt tài khoản

www.tuoitre.vn -   11/04/2023 08:00:00 350

Ứng dụng nhắn tin tức thì phổ biến WhatsApp đã công bố một tính năng xác minh tài khoản mới để đảm bảo rằng phần mềm độc hại chạy trên thiết bị di động của người dùng không ảnh hưởng đến tài khoản của họ.

WhatsApp giới thiệu tính năng xác minh thiết bị mới để ngăn chặn tấn công chiếm đoạt tài khoản

"Phần mềm độc hại trên thiết bị di động là một trong những mối đe dọa lớn nhất đối với quyền riêng tư và bảo mật của mọi người hiện nay vì nó có thể lợi dụng điện thoại của bạn mà không có sự cho phép của bạn và sử dụng WhatsApp của bạn để gửi các tin nhắn không mong muốn", công ty thuộc sở hữu của Meta cho biết trong một thông báo.

Được gọi là Xác minh thiết bị, biện pháp bảo mật được thiết kế để giúp ngăn chặn các cuộc tấn công chiếm đoạt tài khoản (ATO) bằng cách chặn kết nối của tác nhân đe dọa và cho phép các mục tiêu lây nhiễm phần mềm độc hại sử dụng ứng dụng mà không bị gián đoạn.

Nói cách khác, mục tiêu là ngăn chặn việc kẻ tấn công sử dụng phần mềm độc hại để đánh cắp khóa xác thực WhatsApp và chiếm quyền điều khiển tài khoản nạn nhân, sau đó mạo danh họ để phân phối thư rác và liên kết lừa đảo đến các địa chỉ liên hệ khác.

Đổi lại, điều này đạt được bằng cách giới thiệu một mã thông báo bảo mật được lưu trữ cục bộ trên thiết bị, một nonce mã hóa để xác định xem ứng dụng khách WhatsApp có liên hệ với máy chủ để truy xuất tin nhắn đến hay không và một thử thách xác thực hoạt động như một "tiếng ping vô hình". " từ máy chủ đến thiết bị của người dùng.

Máy khách được yêu cầu gửi mã thông báo bảo mật mỗi khi nó kết nối với máy chủ để phát hiện các kết nối khả nghi. Về phần mình, mã thông báo bảo mật được cập nhật mỗi khi nó tải một tin nhắn ngoại tuyến từ máy chủ.

Thử thách xác thực được coi là lỗi khi ứng dụng khách phản hồi thử thách từ một thiết bị khác, cho thấy kết nối bất thường bắt nguồn từ kẻ tấn công. Điều này khiến kết nối bị chặn.

Nếu không có phản hồi từ máy khách, quy trình sẽ được thử lại "vài lần nữa", sau đó kết nối sẽ bị chặn nếu máy khách vẫn không phản hồi.

“Ba tham số này giúp ngăn phần mềm độc hại đánh cắp khóa xác thực và kết nối với máy chủ WhatsApp từ bên ngoài thiết bị của người dùng,” Attaullah Baig và Archis Apte của Meta giải thích.

WhatsApp cho biết Xác minh thiết bị đã được triển khai cho tất cả người dùng Android và nó đang trong quá trình triển khai cho người dùng iOS.

Tính năng này là một phần của tập hợp các cải tiến mới rộng hơn được thiết kế để xác thực và xác minh danh tính của người dùng, bao gồm hiển thị cảnh báo khi có nỗ lực di chuyển tài khoản WhatsApp từ thiết bị này sang thiết bị khác.

Cũng được WhatsApp ra mắt là tính năng Key Transparency để tự động xác nhận xem các cuộc trò chuyện có được mã hóa nối đầu hay không mà không yêu cầu người dùng thực hiện thêm bất kỳ hành động nào.

Để làm như vậy, nó đang triển khai Danh mục khóa có thể kiểm tra (AKD) mới dựa trên các giao thức hiện có như CONIKS và SEEMless để giúp người dùng xác minh tính bảo mật của cuộc trò chuyện của họ.

Công ty cho biết: “AKD sẽ cho phép các ứng dụng khách WhatsApp tự động xác thực rằng khóa mã hóa của người dùng là chính hãng và cho phép mọi người xác minh bằng chứng kiểm toán về tính chính xác của thư mục”.

Quá trình xác minh hiện yêu cầu người dùng trong cuộc trò chuyện so sánh mã bảo mật theo cách thủ công (tồn tại dưới dạng mã QR và số có 60 chữ số) bằng cách gửi mã đó cho người tham gia ở đầu bên kia qua SMS hoặc email hoặc cách khác bằng cách quét mã QR nếu các bên ở bên cạnh nhau.

Mã bảo mật không là gì ngoài hàm duy nhất của cả cặp khóa công khai/riêng tư được tạo để hỗ trợ nhắn tin được mã hóa đầu cuối. Phức tạp hơn nữa, nó có thể thay đổi khi người dùng chuyển đổi thiết bị hoặc cài đặt lại WhatsApp.

Tính minh bạch của khóa hợp lý hóa quy trình xác minh bằng cách sử dụng quy trình tự động giúp loại bỏ nhu cầu về mã dài, thay vào đó duy trì bản ghi các thay đổi khóa công khai trong một thư mục và cho phép khách hàng kiểm tra nó.

Meta giải thích: "Tính minh bạch của khóa mô tả một giao thức trong đó máy chủ [WhatsApp] duy trì bản ghi chỉ nối thêm về ánh xạ giữa tài khoản của người dùng và khóa nhận dạng công khai của họ". "Điều này cho phép tạo ra các bằng chứng bao gồm để khẳng định rằng một ánh xạ nhất định tồn tại trong thư mục tại thời điểm cập nhật gần đây nhất."

WhatsApp dự định sẽ làm cho tính năng này hoạt động trong những tháng tới, mặc dù nó đã lưu trữ và vận hành Danh mục khóa có thể kiểm tra của tất cả người dùng. "Đây là một cơ chế quan trọng giúp trao quyền cho người dùng có ý thức bảo mật xác minh cuộc trò chuyện cá nhân được mã hóa đầu cuối một cách nhanh chóng", công ty cho biết thêm.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Khi tiện ích mở rộng tốt trở nên tệ hại:...

31/12/2024 08:00:00 148
Tin tức đã trở thành tiêu đề trong suốt cuối tuần về chiến dịch tấn công mở rộng nhắm vào các tiện í...

Hàng chục tiện ích mở rộng của Chrome bị...

30/12/2024 08:00:00 129
Một chiến dịch tấn công mới đã nhắm vào các tiện ích mở rộng trình duyệt Chrome đã biết, khiến ít nh...

Apple bồi thường 95 triệu USD vì Siri ng...

30/12/2024 12:00:00 385
Apple đã lưu trữ bất hợp pháp dữ liệu tương tác giữa người dùng với trợ lý ảo Siri mà không có sự đồ...

Hơn 15.000 Bộ định tuyến Four-Faith bị k...

26/12/2024 08:00:00 47
Theo những phát hiện mới từ Chuyên gia bảo mật, một lỗ hổng nghiêm trọng ảnh hưởng đến một số bộ địn...

Bạn nghĩ sao nếu người dùng ảo là chatbo...

26/12/2024 12:00:00 39
Các chatbot AI đã trở nên rất giống con người trong vòng một năm qua, nghe có vẻ khó chấp nhận nhưng...

Các cuộc tấn công mạng “bẻ khóa” thông t...

25/12/2024 08:00:00 221
Công ty an ninh mạng toàn cầu Kaspersky cho biết đã ngăn chặn hơn 23 triệu cuộc tấn công bruteforce ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ

Zalo Button