Các nhà nghiên cứu an ninh mạng vào cuối tuần đã tiết lộ những rủi ro bảo mật mới liên quan đến việc xem trước liên kết trong các ứng dụng nhắn tin phổ biến khiến các dịch vụ rò rỉ địa chỉ IP, lộ các liên kết được gửi qua các cuộc trò chuyện được mã hóa đầu cuối và thậm chí tải xuống hàng gigabyte dữ liệu một cách lén lút trong nền một cách không cần thiết.
“Các liên kết được chia sẻ trong các cuộc trò chuyện có thể chứa thông tin riêng tư chỉ dành cho người nhận”, nhà nghiên cứu Talal Haj Bakry và Tommy Mysk nói.
“Đây có thể là hóa đơn, hợp đồng, hồ sơ y tế hoặc bất cứ thứ gì có thể được bảo mật.”
“Các ứng dụng dựa vào máy chủ để tạo bản xem trước liên kết có thể vi phạm quyền riêng tư của người dùng bằng cách gửi liên kết được chia sẻ trong cuộc trò chuyện riêng tư tới máy chủ của họ.”
Tạo bản xem trước liên kết ở phía người gửi / người nhận
Xem trước liên kết là một tính năng phổ biến trong hầu hết các ứng dụng trò chuyện, giúp dễ dàng hiển thị bản xem trước trực quan và mô tả ngắn gọn về liên kết được chia sẻ.
Mặc dù các ứng dụng như Tín hiệu và Dây điện cung cấp cho người dùng tùy chọn bật / tắt bản xem trước liên kết, một số tùy chọn khác như Threema, TikTok và WeChat hoàn toàn không tạo bản xem trước liên kết.
Các ứng dụng tạo bản xem trước làm như vậy ở đầu người gửi hoặc người nhận hoặc sử dụng máy chủ bên ngoài, sau đó được gửi lại cho cả người gửi và người nhận.
Xem trước liên kết phía người gửi – được sử dụng trong Apple iMessage, Signal (nếu cài đặt được bật), Viber và WhatsApp của Facebook – hoạt động bằng cách tải xuống liên kết, sau đó tạo hình ảnh xem trước và bản tóm tắt, sau đó được gửi đến người nhận dưới dạng tập tin đính kèm. Khi ứng dụng ở đầu bên kia nhận được bản xem trước, nó sẽ hiển thị thông báo mà không cần mở liên kết, do đó bảo vệ người dùng khỏi các liên kết độc hại.
Các nhà nghiên cứu cho biết: “Cách tiếp cận này giả định rằng bất kỳ ai đang gửi liên kết phải tin tưởng nó, vì ứng dụng của người gửi sẽ phải mở liên kết”.
https://www.youtube.com/watch?v=8he1xMhsxX4
Ngược lại, các bản xem trước liên kết được tạo ở phía người nhận sẽ mở ra cánh cửa cho những rủi ro mới cho phép kẻ xấu đánh giá vị trí gần đúng của họ mà không cần người nhận thực hiện bất kỳ hành động nào bằng cách gửi liên kết đến máy chủ dưới sự kiểm soát của họ.
Điều này xảy ra vì ứng dụng nhắn tin, khi nhận được tin nhắn có liên kết, sẽ tự động mở URL để tạo bản xem trước bằng cách tiết lộ địa chỉ IP của điện thoại trong yêu cầu được gửi đến máy chủ.
Theo các nhà nghiên cứu, Reddit Chat và một ứng dụng không được tiết lộ đang “trong quá trình khắc phục sự cố” đã làm theo cách tiếp cận này.
Sử dụng máy chủ bên ngoài để tạo bản xem trước liên kết
Cuối cùng, việc sử dụng máy chủ bên ngoài để tạo bản xem trước, đồng thời ngăn chặn sự cố rò rỉ địa chỉ IP, tạo ra các vấn đề mới: Máy chủ được sử dụng để tạo bản xem trước có giữ lại bản sao không và nếu có, trong bao lâu và họ sử dụng nó để làm gì cho?
Một số ứng dụng, bao gồm Discord, Facebook Messenger, Google Hangouts, Instagram, LINE, LinkedIn, Slack, Twitter và Zoom, thuộc loại này, không có dấu hiệu cho người dùng biết rằng “máy chủ đang tải xuống bất cứ thứ gì họ tìm thấy trong liên kết.”
Thử nghiệm các ứng dụng này cho thấy ngoại trừ Facebook Messenger và Instagram, tất cả các ứng dụng khác đều áp đặt giới hạn 15-50 MB khi nói đến các tệp được tải xuống bởi máy chủ tương ứng của họ. Slack, chẳng hạn, bản xem trước liên kết bộ nhớ đệm trong khoảng 30 phút.
Các ngoại lệ, Facebook Messenger và Instagram, được phát hiện là tải xuống toàn bộ tệp, ngay cả khi chúng có kích thước hàng gigabyte (chẳng hạn như tệp 2,6 GB), theo Facebook, là một tính năng dự kiến.
Thậm chí sau đó, các nhà nghiên cứu cảnh báo, đây có thể là một “cơn ác mộng về quyền riêng tư” nếu các máy chủ giữ lại một bản sao và “sẽ bao giờ có sự vi phạm dữ liệu của các máy chủ này.”
Hơn nữa, mặc dù tính năng mã hóa end-to-end (E2EE) của LINE được thiết kế để ngăn các bên thứ ba nghe trộm các cuộc hội thoại, việc ứng dụng dựa vào máy chủ bên ngoài để tạo bản xem trước liên kết cho phép “các máy chủ LINE [to] biết tất cả về các liên kết đang được gửi qua ứng dụng và ai đang chia sẻ liên kết nào với ai. “
LINK có từ đó đã cập nhật Câu hỏi thường gặp của nó để phản ánh rằng “để tạo bản xem trước URL, các liên kết được chia sẻ trong cuộc trò chuyện cũng được gửi đến máy chủ của LINE”.
Trong một trường hợp riêng biệt, các nhà nghiên cứu cũng phát hiện ra có khả năng máy chủ xem trước liên kết mã độc có thể thực thi các máy chủ xem trước liên kết mã độc, dẫn đến liên kết mã JavaScript được chia sẻ trên Instagram hoặc LinkedIn khiến máy chủ của họ chạy mã.
Họ cho biết: “Chúng tôi đã kiểm tra điều này bằng cách gửi một liên kết đến một trang web trên máy chủ của chúng tôi, trong đó có mã JavaScript chỉ thực hiện một cuộc gọi lại đến máy chủ của chúng tôi. “Chúng tôi có thể xác nhận rằng chúng tôi có ít nhất 20 giây thời gian thực thi trên các máy chủ này.”
Lưu ý đến Quyền riêng tư và Hàm ý Bảo mật
Bakry và Mysk đã từng lộ diện lỗi trong TikTok khiến những kẻ tấn công có thể hiển thị các video giả mạo, bao gồm cả những video từ các tài khoản đã được xác minh, bằng cách chuyển hướng ứng dụng đến một máy chủ giả mạo lưu trữ một bộ sưu tập các video giả mạo. Đầu tháng 3 này, bộ đôi này cũng đã phát hiện ra một vụ xâm nhập quyền riêng tư đáng lo ngại của hơn bốn chục ứng dụng iOS được phát hiện truy cập khay nhớ tạm của người dùng mà không có sự cho phép rõ ràng của người dùng.
Sự phát triển đã đưa Apple đến giới thiệu một cài đặt mới trong iOS 14 cảnh báo cho người dùng mỗi khi ứng dụng cố gắng sao chép thông tin khay nhớ tạm, cùng với việc thêm quyền mới để bảo vệ khay nhớ tạm khỏi quyền truy cập không chính đáng của ứng dụng bên thứ ba.
“Chúng tôi nghĩ rằng có một bài học lớn ở đây cho các nhà phát triển: Bất cứ khi nào bạn đang xây dựng một tính năng mới, hãy luôn ghi nhớ nó có thể có những tác động riêng tư và bảo mật nào, đặc biệt nếu tính năng này sẽ được sử dụng bởi hàng nghìn hoặc thậm chí hàng triệu mọi người khắp nơi trên thế giới.”
“Xem trước liên kết là một tính năng mà người dùng thường được hưởng lợi, nhưng ở đây và chúng tôi đã giới thiệu hàng loạt vấn đề mà tính năng này có thể gặp phải khi các mối quan tâm về quyền riêng tư và bảo mật không được xem xét cẩn thận.”
