Những lỗ hổng bảo mật đáng sợ của ứng dụng Zoom

Zoom là cái tên đang trở nên quen thuộc với rất nhiều người Việt Nam, đặc biệt là giới học sinh, giáo viên và những người thường xuyên họp hành hội nghị trực tuyến. Từ một ứng dụng không nhiều người biết, Zoom đã phát triển nhanh như diều, nhờ cơn gió độc mang tên COVID-19. Hàng triệu người ở Việt Nam đang sử dụng Zoom mỗi ngày để học tập và làm việc, nhưng liệu chúng ta đã hiểu hết về những rủi ro đi kèm với ứng dụng này hay chưa?

(Ảnh: Shutterstock)

Không thể phủ nhận tầm quan trọng của những ứng dụng như Zoom trong thời buổi “giãn cách xã hội” lên ngôi ngày nay. Zoom cùng những ứng dụng video hội nghị trực tuyến khác đang đáp ứng nhu cầu học tập và làm việc cấp thiết của mọi người trong bối cảnh “ở nhà là yêu nước” ở xứ Nam.

Không chỉ ở nước ta, Zoom cũng đang có những bước tiến mạnh mẽ tại các quốc gia khác. Kể từ ngày đại dịch do virus corona chủng mới bùng lên từ Vũ Hán, Trung Quốc, số lượng người dùng Zoom đã tăng từ 10 triệu lên 200 triệu người, trong đó có “90.000 trường học trên 20 quốc gia”, theo thông tin từ CEO của Zoom là Eric Yuan. Chính phủ Mỹ đã ký hợp đồng trị giá 1,3 triệu đô với công ty này trong kế hoạch ứng phó dịch bệnh của họ. Còn chính phủ Anh thậm chí còn sử dụng Zoom để họp nội các từ xa trong thời gian Thủ tướng Boris Johnson phải cách ly vì nhiễm virus.

Ấy vậy, ngày càng nhiều những lo lắng đang xuất hiện trước những vấn đề độ an toàn và bảo mật của Zoom. Một số trường học ở Mỹ, trong đó có cả những trường lớn ở New York và Nevada, đã cấm hoặc ngừng sử dụng dịch vụ của hãng này. Một số khác ở bang Washington và Utah đang suy nghĩ lại xem có nên dùng Zoom hay không. Các ứng dụng video hội nghị trực tuyến ngày nay không thiếu, và họ chỉ việc đơn giản là chuyển qua một ứng dụng khác.

Có nhiều nguyên nhân dẫn đến những lo lắng này, nhưng chúng phần lớn xoay quanh các vấn đề về bảo mật.

Thứ nhất, các cuộc hội thoại trên ứng dụng Zoom không được mã hóa đầu cuối (end-to-end encryption).

Trước đây, Zoom đã nói dối người dùng khi tuyên bố rằng ứng dụng hỗ trợ mã hóa đầu cuối, một biện pháp bảo mật chỉ cho phép duy nhất những người tham gia cuộc họp có thể giải mã và đọc được nội dung. Nhưng sự thực không phải như vậy, sau những báo cáo của tờ The Intercept, Giám đốc phụ trách sản phẩm của Zoom là Oded Gal đã phải viết một bài blog để thay mặt công ty xin lỗi công chúng “vì những hiểu lầm mà chúng tôi đã gây ra khi tuyên bố không chính xác rằng các cuộc gọi của Zoom có khả năng sử dụng mã hóa đầu cuối.”

Vậy thực ra Zoom dùng biện pháp mã hóa gì? Các ứng dụng Zoom trên điện thoại/máy tính của người dùng sẽ lấy một “key” – hay bộ giải mã từ các máy chủ của Zoom đặt rải rác trên khắp thế giới. Và một số máy chủ này có thể sao chép lại bộ giải mã tùy theo cách người dùng thiết lập cuộc gọi/cuộc họp của họ.

Điều thú vị là, 5 trong số 73 máy chủ của Zoom được đặt tại Trung Quốc. Và chúng có thể được dùng để tạo bộ giải mã cho những cuộc gọi không hề có chút liên quan đến Trung Quốc. Theo luật pháp Trung Quốc, mọi máy chủ đặt trong lãnh thổ nước này đều phải chia sẻ dữ liệu khi được chính quyền yêu cầu. Điều này có nghĩa là chính phủ nước này có thể ép Zoom phải tiết lộ bộ giải mã để theo dõi các lớp học trực tuyến của các trường học ở Mỹ, ở Việt Nam hay thậm chí là họp nội các ở nước Anh!

Lo lắng của người dùng về việc họ bị chính quyền Trung Quốc theo dõi là hoàn toàn có cơ sở. Đối với các công ty và chính phủ nước ngoài, nguy cơ họ bị Trung Quốc đánh cắp bí mật hoặc theo dõi gián điệp khi đang dùng Zoom là nhãn tiền. Mặc dù hãng vẫn một mực khẳng định rằng không hề chia sẻ bộ giải mã cho bất kỳ ai khác, kể cả nhân viên của mình.

>> Liệu ‘bệnh nhân số 0’ có phải nhân viên Phòng thí nghiệm virus Vũ Hán?

Thứ hai, bản thân các bộ giải mã của Zoom cũng rất kém bảo mật

Báo cáo bảo mật của Zoom viết rằng các bộ giải mã của họ được bảo mật theo chuẩn Advanced Encryption Standard hay AES với kích thước 256 bit. Nhưng các nhà nghiên cứu tại phòng nghiên cứu Citizen Lab lại phát hiện ra thực tế họ chỉ dùng bộ giải mã kích thước 128 bit. Các bộ giải mã với kích thước này hiện nay vẫn được xem là bảo mật, nhưng từ lâu nhiều công ty khác đã tăng kích thước lên 256 bit để làm khó các hacker.

Chưa hết, thuật toán mà Zoom sử dụng để tạo bộ giãi mã cũng đã lỗi thời, thậm chí được xem là thuật toán tệ nhất trong chuẩn AES.

Dưới đây là ba hình ảnh so sánh kết quả trước và sau mã hóa. Hình ảnh đầu tiên là ảnh gốc. Hình ảnh ở giữa là kết quả của thuật toán mà Zoom đang sử dụng. Hình ảnh thứ ba từ trái sang là kết quả khi sử dụng các thuật toán cao cấp hơn. Khác biệt về hiệu quả bảo mật là không khó để nhận ra.

Các biện pháp khắp phục của Zoom

Điều tích cực trong câu chuyện là những nhà quản lý Zoom đang tỏ ra rất cầu thị và hào phóng ban phát các hứa hẹn. Trong một thông báo gửi cho tờ Washington Post của Mỹ, Zoom nhấn mạnh lần nữa rằng họ xem bảo mật và quyền riêng tư “là cực kỳ quan trọng”. Đồng thời, hãng cũng đang chủ động nghiên cứu và đưa ra các biện pháp và chính sách bảo mật tốt hơn cho người dùng. CEO của hãng, Eric Yuan cho biết:

Những sự cố mới, phần lớn do người dùng báo cáo, đã giúp chúng tôi phát hiện những lổ hổng không dự đoán được trong nền tảng của mình. Các nhà báo và chuyên gia an ninh tận tâm cũng đã giúp chúng tôi phát hiện các vấn đề đang tồn tại. Chúng tôi đánh giá cao sự giám sát và các câu hỏi mà chúng tôi đã và đang tiếp nhận – về cách dịch vụ của chúng tôi hoạt động, về cơ sở hạ tầng và năng lực của chúng tôi, và về các chính sách bảo mật và riêng tư của chúng tôi.”

Hy vọng rằng những lời phát biểu cầu thị này sẽ đi đôi với những hành động thực chất đủ nhanh từ phía Zoom, trước khi hãng mất đi các khách hàng khó tính vào tay đối thủ như: Google Hangouts Meet, Join.me hoặc TeamViewer…

Hạ Chi tổng hợp

Hạ Chi

Published by
Hạ Chi

Recent Posts

Tổng thống Biden: Trát ICC đòi bắt Netanyahu là “thái quá”

Hôm Thứ Năm, ICC tuyên bố bắt các quan chức cao cấp của Israel quy…

45 phút ago

Nước giải khát có đường dự kiến chịu thuế tiêu thụ đặc biệt 10%

Nước giải khát có hàm lượng đường trên 5g/100ml dự kiến phải chịu thuế tiêu…

2 giờ ago

Một huyện của tỉnh Quảng Nam công bố dịch bệnh chó dại

Trong vòng một tuần, huyện Nông Sơn (tỉnh Quảng Nam) đã phát hiện 5 con…

3 giờ ago

Hiện tượng hiếm: Nước biển dâng cao tràn vào nội thành tại nhiều tỉnh thành ở Trung Quốc

Tại Trung Quốc vào tháng trước chứng kiến hiện tượng hiếm thấy khi nước biển…

3 giờ ago

Viện trưởng Viện Y Dược học dân tộc TP.HCM bị khởi tố

Viện trưởng Viện Y Dược học dân tộc TP.HCM - ông Huỳnh Nguyễn Lộc bị…

3 giờ ago

Vụ án UFO lớn nhất Trung Quốc: 3 lần mất tích bí ẩn

Vào ngày 28/7, mẹ của Hoàng Diên Thu phát hiện con trai mất tích, cả…

3 giờ ago