Nguy cơ mất an toàn thông tin từ tính năng xem trước liên kết trong các ứng dụng phổ biến

Tính năng xem trước liên kết trên Facebook, Instagram, LinkedIn và Line mang lại sự tiện lợi, nhưng cũng có thể làm ảnh hưởng tới quyền riêng tư của mọi người dùng.  

Xem trước liên kết (link đường dẫn) là một tính năng gần như phổ biến trong tất cả các ứng dụng trò chuyện và nhắn tin. Bằng cách cung cấp hình ảnh và văn bản tóm tắt liên quan đến nội dung, tính năng này giúp người khác có thể biết được nội dung điều hướng trước khi nhấp vào liên kết.

Thật không may, điều này cũng làm rò rỉ dữ liệu nhạy cảm, tiêu tốn băng thông hạn chế, tiêu hao pin; và trong một số trường hợp, làm lộ các liên kết trong nội dung trò chuyện cần được mã hóa đầu cuối. Theo một báo cáo nghiên cứu được công bố cách đây ít lâu, các ứng dụng như Facebook, Instagram, LinkedIn và Line đều đã lọt vào danh sách sự cố.

Nguy cơ mất an toàn thông tin từ tính năng xem trước liên kết trong các ứng dụng phổ biến

Khi người gửi tin nhắn giới thiệu một liên kết trong nội dung sẽ gửi, ứng dụng sẽ hiển thị một đoạn văn bản (thường là tiêu đề của nội dung liên kết) và hình ảnh trong cửa sổ hộp thoại.

Để thực hiện việc này, bản thân ứng dụng (hoặc proxy được ứng dụng chỉ định) phải truy cập vào liên kết, mở tệp ở đó và điều tra nội dung, điều này có thể khiến người dùng bị tấn công. Nghiêm trọng nhất là những phần mềm có thể tải phần mềm độc hại xuống thiết bị cục bộ.

Các hình thức tấn công khác có thể buộc các ứng dụng tải xuống các tệp đủ lớn để khiến phần mềm gặp sự cố, hao pin hoặc tiêu tốn băng thông hạn chế trong khi liên kết đến các tài liệu riêng tư. Trong trường hợp, các dữ liệu được lưu trữ trong tài khoản trực tuyến (OneDrive hoặc DropBox) - máy chủ ứng dụng sẽ có cơ hội xem và lưu trữ vô thời hạn.

Talal Haj Bakry, Tommy Mysk, tác giả của báo cáo nghiên cứu mới này và các nhà phát triển ứng dụng di động, tin rằng Facebook, Messenger và Instagram là những vấn đề nghiêm trọng nhất.

Hai ứng dụng đầu tiên sẽ tải xuống và sao chép hoàn toàn tệp được liên kết, ngay cả khi kích thước tệp đạt đến gigabyte (mức GB); nếu tệp là thứ mà người dùng muốn giữ bí mật, đây có thể trở thành vấn đề nghiêm trọng hơn. Vấn đề tương tự cũng có thể xảy ra trong ứng dụng Instagram, vì nó sẽ khiến bất kỳ JavaScript nào dẫn đến liên kết chạy trên máy chủ xem trước.

 

Haj Bakry và Mysk đã báo cáo những phát hiện của họ cho Facebook, chủ sở hữu của Instagram và công ty nói rằng, cả hai ứng dụng liên quan đều hoạt động như bình thường. Facebook tuyên bố qua email rằng, máy chủ của họ chỉ tải xuống phiên bản rút gọn của hình ảnh chứ không phải tệp gốc và công ty không lưu trữ dữ liệu này. Email của Facebook cũng cho biết, máy chủ chạy JavaScript để kiểm tra tính bảo mật của tệp.

Tuy nhiên, Mysk khẳng định đã quan sát thấy Instagram tải xuống một tệp 2,6 GB (ISO Ubuntu có tên đã được đổi thành ubuntu.png) và ghi lại quá trình này. Ông cũng chỉ ra rằng, hầu hết các ứng dụng đều lọc JavaScript thay vì tải xuống và chạy nó trên máy chủ.

Hiệu suất của LinkedIn chỉ tốt hơn một chút. Sự khác biệt duy nhất là nó không sao chép hoàn toàn tất cả các tệp mà chỉ sao chép 50MB đầu tiên. Discord, Google Hangouts, Slack, Twitter và Zoom cũng sao chép tệp, nhưng giới hạn dữ liệu sao chép của chúng là từ 15MB đến 50MB.

Tương tự, khi ứng dụng Line mở tin nhắn được mã hóa và tìm thấy một liên kết, nó dường như sẽ gửi liên kết đến máy chủ của Line để tạo bản xem trước. “Chúng tôi tin rằng, điều này đi ngược mục đích của mã hóa end-to-end, bởi vì máy chủ Line biết tất cả các liên kết được gửi qua ứng dụng và ai đã chia sẻ liên kết nào với ai”, Haj Bakry và Mysk viết.

Có thể nói, báo cáo này là một lời nhắc nhở đối với người dùng rằng, thông tin cá nhân không phải lúc nào cũng "riêng tư" và bạn nên cân nhắc trước khi thiết lập tính năng xem trước liên kết trong các ứng dụng trò chuyện. 

"Xem trước nội dung liên kết là một tính năng tốt, người dùng nói chung được hưởng lợi từ nó, nhưng chúng tôi đã chỉ ra ở đây các vấn đề khác nhau mà tính năng này có thể mắc phải nếu không xem xét kỹ lưỡng về quyền riêng tư và bảo mật", Haj Bakry và Mysk nhấn mạnh.

Phong Vũ

Long An tập huấn về bảo mật ứng dụng và CSDL điện toán đám mây

Long An tập huấn về bảo mật ứng dụng và CSDL điện toán đám mây

Lớp tập huấn nhằm tăng cường công tác ATTT mạng của các cơ quan nhà nước trong tỉnh, trong đó tập trung bảo đảm ATTT cho một số hệ thống thông tin trọng điểm của Long An.

 
List comment
 
Hải Dương phát hiện nhiều trang thông tin điện tử dùng thư viện “Telerik UI” tồn tại lỗ hổng bảo mật
icon

Công an Hải Dương cho biết thời gian qua, đã phát hiện nhiều trang thông tin điện tử sử dụng thư viện “Telerik UI” tồn tại lỗ hổng bảo mật và bị tin tặc tấn công, đăng tải hình ảnh quảng cáo game bài V8 Club.

 
Long An tập huấn về bảo mật ứng dụng và CSDL điện toán đám mây
icon

Lớp tập huấn nhằm tăng cường công tác ATTT mạng của các cơ quan nhà nước trong tỉnh, trong đó tập trung bảo đảm ATTT cho một số hệ thống thông tin trọng điểm của Long An.

 
Sóc Trăng tổ chức hội thảo an toàn thông tin trong cuộc CMCN 4.0
icon

Tại hội thảo, nhiều vấn đề an toàn thông tin liên quan đến cuộc cách mạng công nghiệp lần thứ tư trên địa bàn tỉnh, trong nước và thế giới đã được đưa ra thảo luận.

 
Tác giả mã độc vừa bị Nga bắt giữ: 20 tuổi, từng được khen thưởng
icon

Bộ Nội vụ Nga cho biết vừa bắt giữ một tác giả mã độc vào cuối tháng 9, 20 tuổi, đến từ phía Bắc Ossetia–Alania.

 
Tại sao thay đổi mật khẩu thường xuyên không phải là ý tưởng hay?
icon

Thay vào đó, bạn nên sử dụng các công cụ lưu mật khẩu để giúp bạn trong việc ghi nhớ mật khẩu dễ dàng hơn.

 
 
Cơ quan quản lý hạt nhân Nhật Bản liên tiếp bị tấn công mạng
icon

Khi gặp sự cố hôm Thứ Ba, trang web của Cơ quan quản lý hạt nhân Nhật Bản đã không thể truy cập được trong nhiều giờ. Vụ việc xảy ra một tuần sau khi mạng nội bộ của cơ quan này bị truy cập trái phép từ bên ngoài.

Tập huấn đảm bảo an toàn trang tin điện tử trong Công an nhân dân
icon

Buổi tập huấn về công tác quản lý, cung cấp thông tin và đảm bảo an ninh, an toàn hệ thống Cổng/Trang Thông tin điện tử (TTĐT) trong Công an nhân dân (CAND) vừa được tổ chức cuối tháng 10.  

Lộ thông tin 339 triệu khách hàng, Marriott dính án phạt nặng
icon

Sau 2 năm, sự cố rò rỉ thông tin cá nhân của 339 triệu khách tại các khách sạn thuộc tập đoàn Starwood Hotels đã tạm kết thúc.  

Hợp tác phát triển giải pháp ký số di động “Make in Vietnam”
icon

Câu lạc bộ chữ ký số và giao dịch điện tử Việt Nam vừa ký kết hợp tác với 2 đơn vị là đại diện của các hãng phần cứng bảo mật lớn trên thế giới để cùng phát triển giải pháp ký số di động “Make in Vietnam”.

Thứ hạng an toàn website của Việt Nam cải thiện đáng kể trong 3 quý đầu năm 2020
icon

Theo hệ thống bản đồ tấn công website toàn cầu của CyStack, trong 9 tháng đầu năm nay, Việt Nam đã cải thiện đáng kể tình hình an ninh website so với năm ngoái. Cụ thể, số cuộc tấn công trong 3 quý đầu năm 2020 giảm tới 64,8%.

 
123

Giấy phép hoạt động báo chí: Số 09/GP-BTTTT, Bộ Thông tin và Truyền thông cấp ngày 07/01/2019.

Tòa soạn: Tầng 7, Tòa nhà Cục Tần số Vô tuyến điện, 115 Trần Duy Hưng, Quận Cầu Giấy, Hà Nội

Điện thoại: 024 3 936 9966 - Fax: 024 3 936 9364

Hotline nội dung: 0888 911 911 - Email: toasoan@ictnews.vn

123