17/09/2018, 21:32

Phát hiện hai lỗ hổng an ninh trên ứng dụng nhắn tin WhatsApp

Tuần trước, ứng dụng nhắn tin phổ biến nhất là WhatsApp đã chính thức ra mắt phiên bản trên website máy tính, gọi là WhatsApp Web. Nhưng không may là phiên bản website này chưa thực sự thuyết phục người dùng và cần thêm một số nâng cấp. Một nhà nghiên cứu trẻ tuổi là Indrajeet Bhuyan đã báo ...

whatsapp

Tuần trước, ứng dụng nhắn tin phổ biến nhất là WhatsApp đã chính thức ra mắt phiên bản trên website máy tính, gọi là WhatsApp Web. Nhưng không may là phiên bản website này chưa thực sự thuyết phục người dùng và cần thêm một số nâng cấp.

Một nhà nghiên cứu trẻ tuổi là Indrajeet Bhuyan đã báo cáo và chứng minh được hai lỗ hổng an ninh trong WhatsApp Web mà làm lộ một số thông tin bảo mật của khách hàng. Bhuyan gọi lỗ hổng đầu tiên là WhatsApp photo privacy và lỗ hổng còn lại là WhatsApp Web photo Sync.

Bhuyan cũng đã từng phát hiện và báo cáo lỗ hổng trong ứng dụng nhắn tin điện thoại này mà cho phép bất cứ ai cũng có thể tấn công WhatsApp từ xa bằng cách gửi một thông điệp đặc biệt có dung lượng 2Kb. Từ đó khiến mất dữ liệu và lịch sử hội thoại của người dùng.

LỖ HỔNG WHATSAPP PHOTO PRIVACY

Theo Bhuyan, phiên bản mới của WhatsApp Web cho phép chúng ta xem hình ảnh cá nhân của người dùng mặc dù chúng ta không nằm trong danh sách liên lạc với người dùng kia. Thậm chí nếu người dùng thiết lập chế độ hình ảnh là “Contacts Only” thì những người không nằm trong danh sách liên lạc vẫn có thể xem được bức ảnh. Nói một cách đơn giản, nếu chúng ta thiết lập bức ảnh là “Contacts Only” thì chỉ những người trong danh sách liên lạc mới có thể xem bức hình, không một ai khác. Nhưng với WhatsApp Web thì không như vậy.

LỖ HỔNG WHATSAPP WEB PHOTO SYNC

Lỗ hổng an ninh thứ hai nằm trong chức năng WhatsApp Web Photo Syncing. Bhuyan đặc biệt chú ý rằng khi người dùng xóa một bức ảnh thông qua WhatsApp trên phiên bản di động thì bức ảnh đó sẽ bị mờ dần đi và hoàn toàn không thể nhìn thấy gì. Tuy nhiên, cũng là bức ảnh đó vừa được xóa trên điện thoại thì lại hoàn toàn có thể xem được bình thường thông qua WhatsApp Web. Điều này chứng tỏ một thực tế là WhatsApp trên hai phiên bản di động và máy tính không đồng bộ với nhau.

Điều này không có gì là ngạc nhiên, bởi WhatsApp Web cũng chỉ mới ra mắt được vài ngày và những lỗ hổng an ninh nhỏ này giúp công ty có khả năng kiểm soát chặt chẽ hơn. Công ty cũng tuyên bố rằng sẽ sửa lại lỗi an ninh để người dùng có thể trải nghiệm nhắn tin một cách an toàn nhất. WhatsApp Web đã kết hợp với Open Whisper System sử dụng mã hóa end-to-end trên nền tảng Android – một bước tiến mới về vấn đề bảo mật trực tuyến cho người dùng trên toàn thế giới.

Theo THN

0