Lỗi bảo mật trong WhatsApp trả giá bằng tính tiện dụng

(PCWorldVN) Một vài báo cáo mới đây cho biết một phần mềm gián điệp backdoor có trong ứng dụng nhắn tin WhatsApp có thể đã ảnh hưởng đến 1 tỉ người dùng.

Năm ngoái, WhatsApp chuyển sang sử dụng công nghệ mã hóa đầu cuối cho mọi người dùng. Đến nay, có một báo cáo cho rằng cách tiếp cận này của hãng bị dính lỗi. Trong khi đó, hãng cho rằng lỗ hổng này như là việc đánh đổi phải có để làm cho ứng dụng thân thiện với người dùng hơn.
 
Theo trang tin Guardian, về lý thuyết, WhatsApp bị dính một lỗi cho phép hãng có thể đọc được tin nhắn mà người dùng tưởng rằng tin nhắn của họ hoàn toàn riêng tư. Tobias Boelter, nhà nghiên cứu bảo mật tại đại học Berkeley, Mỹ, cho rằng WhatsApp có thể buộc một thiết bị tạo ra một khóa mã hóa mới khi một người dùng offline. Sau đó, nếu ai đó gửi tin nhắn đến thiết bị đó trong khi thiết bị offline thì người gửi sẽ phải tái mã hóa tin nhắn và gửi chúng lại. Do đó, những tin nhắn này có thể bị WhatsApp lấy và can thiệp được.
 
WhatsApp biết rõ lỗi bảo mật của họ nhưng hãng vẫn làm ngơ vì ảnh hưởng đến tính tiện dụng của người dùng.
 
Điều đáng nói là WhatsApp hoàn toàn biết họ có lỗ hổng này nhưng hãng không hề đả động gì đến nó, mà chỉ nói rằng họ không sửa bởi vì ảnh hưởng đên tính tiện dụng của người dùng. Bất kỳ khi nào bạn chuyển SIM, sử dụng một điện thoại mới hay với bất kỳ lý do gì mà bạn phải cài WhatsApp lại thì hệ thống sẽ tạo một tập khóa mới để đảm bảo mọi tin nhắn vào ra ứng dụng đều an toàn. Bất kỳ tin nhắn nào gửi đến bạn trong lúc thiết bị của bạn đang offline, đang cài đặt… mà bạn chưa nhận được sẽ nằm trong hàng đợi của thiết bị người gửi, chờ cho dịch vụ của bạn kết nối được. Vì vậy, WhatsApp nói rằng thiết bị người gửi sẽ mã hóa lại chúng, sử dụng một khóa mới trước khi gửi lại. Ý tưởng là không ai bị thất lạc một tin nhắn nào.
 
Fredric Jacobs, chuyên gia bảo mật tại Open Whisper Systems, là công ty phát triển hệ thống mã hóa được nhúng trong WhatsApp, giải thích rằng lỗi này có thể bị tận dụng nếu kẻ xấu muốn giả người nhận có thiết bị mới, từ đó tin nhắn mã hóa lại sẽ được gửi cho thiết bị mới, giả đó.
 
Nhưng trên thực tế, rất khó để thực hiện lừa đảo kiểu giả điện thoại mới như trên, cũng như có vẻ WhatsApp cũng không cố ý muốn theo dõi tin nhắn của người dùng. WhatsApp cũng phủ nhận suy nghĩ rằng backdoor được thiết kế cho mục đích điều tra của tổ chức chính phủ nào. 
 
Người dùng cũng cần biết trong điều khoản sử dụng của WhatsApp, điều khoản không cấm hãng lưu dữ liệu metadata về tin nhắn. Vì vậy, tuy WhatsApp khẳng định hãng không lén dò xem tin nhắn của người dùng nhưng chuyện gì cũng có thể xảy ra. 
 
Nếu bạn thực sự quan tâm đến tính riêng tư của WhatsApp, không hề muốn tin nhắn của mình bị lộ cho bất kỳ bên nào khác ngoài người nhận, bạn có thể bật thông báo hệ thống để biết ai đang cập nhật khóa mã hóa của họ. Theo cách này, bạn có thể chọn tạm ngưng gửi tin nhắn cho người đó cho đến khi ứng dụng WhatsApp của họ đã được cài đặt hoàn chỉnh để tránh rủi ro.
 

 

Nguồn: Technology Review

Từ khóa: di động, tin nhắn, ứng dụng nhắn tin, whatsapp