WeChat, ứng dụng nhắn tin phổ biến nhất tại Trung Quốc với hơn 1 tỷ người dùng hàng tháng, đang bị phát hiện chứa lỗ hổng bảo mật trong giao thức mã hóa. Một nghiên cứu mới đây của Citizen Lab thuộc Đại học Toronto (Canada) đã chỉ ra rằng giao thức mã hóa tùy chỉnh mà WeChat sử dụng có nhiều điểm yếu tiềm ẩn, đặc biệt là trong việc bảo vệ thông tin nhạy cảm của người dùng.
Mục lục
Rủi ro từ giao thức mã hóa của WeChat
WeChat hiện đang sử dụng một giao thức mã hóa hai lớp, bao gồm một lớp mã hóa cho doanh nghiệp và một lớp mã hóa MMTLS, phiên bản sửa đổi của giao thức TLS 1.3 tiêu chuẩn. Mặc dù giao thức MMTLS đã cải thiện phần nào bảo mật so với các phiên bản trước, nhưng vẫn tồn tại những vấn đề đáng lo ngại. Theo nghiên cứu, lớp mã hóa này không bảo vệ tốt siêu dữ liệu nhạy cảm, bao gồm ID người dùng, và sử dụng các vector khởi tạo (IV) không an toàn, trái ngược với các phương pháp mã hóa hiện đại.
Điều này dẫn đến việc thông tin nhạy cảm của người dùng có thể dễ dàng bị lộ nếu các hacker khai thác được lỗ hổng này. Đây là mối lo ngại lớn khi WeChat là nền tảng nhắn tin chủ lực tại Trung Quốc và được sử dụng rộng rãi không chỉ để liên lạc cá nhân mà còn trong các hoạt động kinh doanh và chính phủ.
Nguy cơ từ việc sử dụng mã hóa tùy chỉnh
Một trong những nguyên nhân chính dẫn đến lỗ hổng bảo mật là do Tencent, công ty mẹ của WeChat, đã sử dụng các hệ thống mã hóa tùy chỉnh thay vì áp dụng các tiêu chuẩn mã hóa toàn cầu như TLS 1.3 hoặc giao thức QUIC. Xu hướng tự phát triển mã hóa nội bộ của các công ty Trung Quốc đang bị các chuyên gia bảo mật đánh giá là không hiệu quả bằng các giải pháp tiêu chuẩn, dẫn đến nguy cơ bảo mật cho người dùng.
Khuyến nghị từ chuyên gia
Các chuyên gia từ Citizen Lab khuyến nghị Tencent nên nhanh chóng áp dụng các giao thức mã hóa tiêu chuẩn như TLS hoặc kết hợp với QUIC để tăng cường an toàn thông tin cho người dùng. Điều này không chỉ bảo vệ người dùng mà còn giúp WeChat đạt được các tiêu chuẩn mã hóa quốc tế cần thiết cho một ứng dụng có quy mô lớn như vậy.
Trong khi chờ đợi WeChat cải tiến giao thức mã hóa, người dùng nên cẩn trọng khi chia sẻ thông tin nhạy cảm qua ứng dụng này. Tránh gửi các dữ liệu quan trọng như thông tin cá nhân, tài chính qua WeChat để giảm thiểu nguy cơ lộ lọt thông tin.
