Phát hiện rủi ro bảo mật liên quan đến tính năng link preview trong loạt ứng dụng nhắn tin phổ biến

Cuối tuần qua, các nhà nghiên cứu an ninh mạng đã tiết lộ những rủi ro bảo mật  liên quan đến tính năng link preview (xem trước liên kết) trong các ứng dụng nhắn tin phổ biến. Tính năng này có nguy cơ làm rò rỉ địa chỉ IP, lộ đường link trong các cuộc trò chuyện được mã hóa đầu cuối, và thậm chí lén lút tải xuống hàng gigabyte dữ liệu của người dùng.



“Đường link được chia sẻ trong các cuộc trò chuyện có thể chứa những thông tin nhạy cảm được gửi riêng cho người nhận,” hai chuyên gia bảo mật Talal Haj Bakry và Tommy Mysk cho biết.



“Đó có thể là hóa đơn, hợp đồng, hồ sơ y tế hoặc bất cứ thông tin cá nhân nào khác.”



“Các ứng dụng dựa vào máy chủ để tạo link preview có thể vi phạm quyền riêng tư của người dùng nếu nó gửi đường link được chia sẻ trong các cuộc trò chuyện riêng tư về máy chủ của mình.”



Tạo link preview ở phía người gửi hoặc người nhận



Link preview là một tính năng phổ biến trên hầu hết các ứng dụng nhắn tin. Nó giúp người dùng có một cái nhìn trực quan về nội dung, kèm theo mô tả ngắn gọn về liên kết được chia sẻ.



Mặc dù các ứng dụng như Signal và Wire cho phép người dùng tùy chọn bật/tắt tính năng này, một số ứng dụng khác như Threema, TikTok hay WeChat hoàn toàn không có tính năng link preview.



Các ứng dụng có tính năng này thường tạo bản preview ở cả phía người gửi lẫn người nhận liên kết, hoặc sử dụng một máy chủ bên ngoài để tạo link preview cho cả người gửi và người nhận.



Link preview ở phía người gửi (sender-side link preview) thường được sử dụng trong các ứng dụng như Apple iMessage, Signal (nếu tính năng được bật), Viber, và WhatsApp. Nó hoạt động bằng cách tải xuống đường link, tạo hình ảnh xem trước và bản tóm tắt ngắn, sau đó gửi đến người nhận dưới dạng tập tin đính kèm. Khi ứng dụng ở đầu bên kia nhận được bản preview, nó sẽ hiển thị mô tả ngắn gọn mà không cần mở đường link, từ đó bảo vệ người dùng khỏi các liên kết độc hại.



“Cách tiếp cận này giả định rằng bất kỳ ai đang gửi đường link đều phải tin tưởng nó, do chính ứng dụng của người gửi sẽ phải mở đường link này,” các nhà nghiên cứu cho biết.





Ngược lại, các link preview được tạo ở phía người nhận (recipient-side link preview) tiềm ẩn những rủi ro bảo mật nguy hiểm. Nó cho phép kẻ xấu biết được vị trí gần đúng của người dùng mà không cần bất cứ tương tác nào từ người nhận, đơn giản bằng cách gửi một đường link đến máy chủ mà chúng kiểm soát.



Điều này xảy ra là do các ứng dụng nhắn tin, khi nhận được một tin nhắn có chứa đường link, sẽ tự động mở URL để tạo bản preview bằng cách tiết lộ địa chỉ IP của điện thoại trong một request gửi đến máy chủ.



Theo các nhà nghiên cứu, Reddit Chat và một ứng dụng không được tiết lộ hiện đang “trong quá trình khắc phục sự cố” bị phát hiện đã hoạt động theo cách này.



Sử dụng máy chủ bên ngoài để tạo link preview



Cuối cùng, việc sử dụng máy chủ bên ngoài để tạo bản preview mặc dù có thể giảm thiểu các vấn đề liên quan đến rò rỉ địa chỉ IP, nhưng lại làm nảy sinh một vấn đề mới: Máy chủ được sử dụng để tạo bản preview có giữ lại bản sao không, và nếu có, thì trong bao lâu và nó được sử dụng để làm gì?



Một loạt ứng dụng nổi tiếng như Discord, Facebook Messenger, Google Hangouts, Instagram, LINE, LinkedIn, Slack, Twitter và Zoom đang hoạt động theo cách này. Tuy nhiên chúng không hề đưa ra bất cứ thông báo nào tới người dùng rằng “các máy chủ đang tải xuống mọi thông tin mà nó tìm thấy trên các đường link của họ.”



Các nhà nghiên cứu đã thử nghiệm các ứng dụng này và nhận thấy rằng ngoại trừ Facebook Messenger và Instagram, tất cả các ứng dụng khác đều áp đặt giới hạn tải xuống tối đa 15-50 MB dữ liệu cho máy chủ của họ. Chẳng hạn như Slack lưu giữ link preview trong khoảng 30 phút.



Còn kẻ ngoại lệ như Facebook Messenger và Instagram thì được phát hiện tải xuống toàn bộ dữ liệu file, ngay cả khi chúng có kích thước lên đến hàng gigabyte, chẳng hạn một file chứa đến 2,6 GB dữ liệu.



Theo các nhà nghiên cứu đây nhiều khả năng sẽ trở thành một “cơn ác mộng về quyền riêng tư” cho người dùng, nếu máy chủ của những công ty này lưu giữ bản sao của các tài liệu và không may bị ảnh hưởng bởi một cuộc tấn công rò rỉ dữ liệu.



Hơn nữa, mặc dù tính năng mã hóa end-to-end (E2EE) của LINE được thiết kế để ngăn bên thứ ba nghe trộm các cuộc hội thoại, nhưng việc ứng dụng dựa vào máy chủ bên ngoài để tạo link preview sẽ cho phép “máy chủ LINE biết tất cả mọi thông tin về các đường link đang được gửi qua ứng dụng, cũng như biết rõ người dùng đang chia sẻ đường link với ai.”



LINE hiện tại đã cập nhật FAQ của mình để cảnh báo trước rằng “để có thể tạo URL preview, các đường link được chia sẻ trong các cuộc trò chuyện cũng sẽ được gửi đến máy chủ LINE”.





Ngoài ra, các nhà nghiên cứu còn phát hiện ra kẻ tấn công hoàn toàn có khả năng thực thi mã độc hại trên máy chủ link preview.  Chẳng hạn như một máy chủ có thể chạy những dòng code độc hại nếu một JavaScript code link được chia sẻ trên Instagram hoặc LinkedIn.



“Chúng tôi đã kiểm tra điều này bằng cách gửi một đường link đến một trang web trên máy chủ của mình. Đường link có chứa mã JavaScript này có thể dễ dàng thực hiện hàm callback trên máy chủ của chúng tôi,” các nhà nghiên cứu cho biết. “Chúng tôi đã có ít nhất 20 giây để thực thi trên các máy chủ này.”



Vấn đề quyền riêng tư và bảo mật của người dùng



Trước đây, hai nhà nghiên cứu Bakry và Mysk đã từng cảnh báo về các lỗ hổng bảo mật trên TikTok . Nó cho phép kẻ tấn công phát các video giả mạo, ngay cả trên các tài khoản đã được xác minh, bằng cách chuyển hướng ứng dụng đến một máy chủ có lưu trữ một bộ sưu tập các video giả mạo. Đầu tháng 3 vừa qua, bộ đôi này cũng đã phát hiện ra một vụ xâm nhập quyền riêng tư trên hơn 40 ứng dụng iOS của Apple. Những ứng dụng này bị phát hiện truy cập trái phép vào clipboard (bộ nhớ tạm) của người dùng mà không hề đưa ra bất cứ thông báo nào.



Vụ việc trên đã khiến Apple phải công bố một chức năng mới trong iOS 14 để cảnh báo người dùng mỗi khi ứng dụng cố gắng sao chép thông tin trên clipboard. Bên cạnh đó, “gã khổng lồ công nghệ” này cũng  bổ sung thêm những quyền hạn mới nhằm bảo vệ clipboard khỏi các truy cập không chính đáng từ các ứng dụng bên thứ ba.



“Chúng tôi nghĩ rằng vụ việc trên đã để lại một bài học lớn cho các nhà phát triển: bất cứ khi nào bạn xây dựng một tính năng mới, hãy luôn suy nghĩ cẩn trọng về những ảnh hưởng mà nó có thể gây ra với quyền riêng tư và bảo mật của người dùng, đặc biệt là khi tính năng này được sử dụng bởi hàng nghìn hay thậm chí hàng triệu người trên toàn cầu.”



“Link preview nhìn chung là một tính năng hữu ích với người dùng, nhưng khi những vấn đề về quyền riêng tư và bảo mật không được xem xét cẩn thận, tính năng này sẽ phản tác dụng và khiến người dùng phải đối mặt với những rủi ro rò rỉ dữ liệu nghiêm trọng.”



Theo The Hacker News
The post Phát hiện rủi ro bảo mật liên quan đến tính năng link preview trong loạt ứng dụng nhắn tin phổ biến appeared first on SecurityDaily .