Tính năng tưởng chừng vô hại trên các app nhắn tin phổ biến có thể khiến bạn bị hacker tấn công

Hai nhà nghiên cứu bảo mật Talal Haj Bakry và Tommy Mysk vừa tung ra một báo cáo về nguy cơ tiềm ẩn của tính năng xem trước link trong các app nhắn tin. Theo đó, các lỗ hổng của tính năng này có thể dẫn đến những vấn đề về bảo mật và quyền riêng tư trên cả iOS và Android.

Talal Haj Bakry và Tommy Mysk cho biết tính năng xem trước link trên app nhắn tin có thể làm rò rỉ IP, làm lộ các liên kết được trao đổi trong các app nhắn tin mã hóa đầu cuối. Tệ hơn, chúng có thể bị hacker lợi dụng để tải tập tin vào thiết bị của người dùng mà không cần sự cho phép cũng như sao chép dữ liệu riêng tư.

Tính năng xem trước link sẽ hiển thị một phần nội dung của trang web hoặc tài liệu trong nhiều ứng dụng nhắn tin. Nhờ vậy, bạn có thể thấy trước một phần nội dung mà không cần phải nhấp vào link.

Các ứng dụng như iMessage và WhatsApp luôn đảm bảo rằng người gửi sẽ tạo ra bản xem trước của link nên người nhận được bảo vệ khỏi rủi ro nếu như đó là link chứa mã độc... Để thực hiện điều này, hình ảnh tóm tắt và xem trước được tạo trên thiết bị của người gửi và được gửi đi dưới dạng tập tin đính kèm. Trên thiết bị của người nhận sẽ hiển thị bản xem trước mà không cần mở link.

Nhờ vậy, iMessage và WhatsApp không bị ảnh hưởng bởi các lỗ hổng mà Talal Haj Bakry và Tommy Mysk phát hiện ra. Các ứng dụng không tạo bản xem trước như TikTok và WeChat cũng không gặp vấn đề tương tự.

Vậy lỗ hổng này chỉ ảnh hưởng tới các ứng dụng nào?

Đầu tiên, các ứng dụng mà bản xem trước được tạo ở phía thiết bị của người nhận sẽ bị ảnh hưởng nhiều nhất. Lúc này, ứng dụng sẽ tự động mở liên kết trong nền để tạo ra bản xem trước. Điều này xảy ra trước khi người dùng nhấp vào liên kết nên có thể khiến họ bị nhiễm mã độc mà không hề hay biết. Các ứng dụng như Reddit tạo bản xem trước link theo cách này.

Lợi dụng cơ chế này, hacker có thể cài mã độc vào máy nạn nhân hoặc lấy cắp địa chỉ IP mà nạn nhân không hề biết. Hacker còn có thể thực hiện các hành vi phá hoại như khiến thiết bị của nạn nhân liên tục tải về các tập tin lớn gây hao pin và tốn tiền cho kết nối internet. Nguy hiểm hơn, mã độc được kích hoạt ngay khi nạn nhân xem tin nhắn, không cần nhấp vào link.

Thứ hai, các ứng dụng tạo bản xem trước link trên máy chủ bên ngoài cũng tiềm ẩn một số nguy cơ. Các app nhắn tin sử dụng phương thức tạo bản xem trước link trên máy chủ bên ngoài gồm Discord, Facebook Messenger, Google Hangouts, Instagram, LinkedIn, Slack, Twitter và Zoom. Trong trường hợp này, đầu tiên ứng dụng sẽ gửi link tới máy chủ bên ngoài và yêu cầu nó tạo ra bản xem trước sau đó máy chủ sẽ gửi bản xem trước trở lại cho cả người gửi và người nhận.

Điều này gây ra nguy cơ bảo mật nếu như link được gửi chứa dữ liệu quan trọng hoặc riêng tư. Việc sử dụng các máy chủ bên ngoài cho phép những ứng dụng nhắn tin kể trên tạo ra bản sao của thông tin cá nhân một cách trái phép và lưu trữ nó trong một khoảng thời gian.

Nhiều ứng dụng có giới hạn dữ liệu về việc tải về máy chủ bao nhiêu nội dung của link. Tuy nhiên, Facebook Messenger và Instagram thì tải về máy chủ của mình toàn bộ nội dung link của người dùng, bất kể dung lượng của link là bao nhiêu. Khi được hỏi về hành vi này, Facebook tuyên bố rằng họ coi đó là một hoạt động bình thường của hệ thống.

Các bản sao dữ liệu lưu trữ trên các máy chủ bên ngoài có thể bị rò rỉ. Điều này có thể ảnh hưởng lớn tới những doanh nghiệp, những người sử dụng các app dành cho công việc như Zoom và Slack. Bên cạnh đó, nó cũng ảnh hưởng tới những ai thường xuyên phải trao đổi dữ liệu bí mật, riêng tư, nhạy cảm.

Hy vọng rằng trong tương lai, các ứng dụng nhắn tin sẽ có những điều chỉnh để đảm bảo rằng tính năng xem trước link không gây ra thảm họa bảo mật cho người dùng.

• Ứng dụng nhắn tin bảo mật nào giảm nguy cơ bị hack tài khoản?