Nguy cơ mất an toàn thông tin từ tính năng xem trước liên kết trong các ứng dụng phổ biến
Tính năng xem trước liên kết trên Facebook, Instagram, LinkedIn và Line mang lại sự tiện lợi, nhưng cũng có thể làm ảnh hưởng tới quyền riêng tư của mọi người dùng.
Xem trước liên kết (link đường dẫn) là một tính năng gần như phổ biến trong tất cả các ứng dụng trò chuyện và nhắn tin. Bằng cách cung cấp hình ảnh và văn bản tóm tắt liên quan đến nội dung, tính năng này giúp người khác có thể biết được nội dung điều hướng trước khi nhấp vào liên kết.
Thật không may, điều này cũng làm rò rỉ dữ liệu nhạy cảm, tiêu tốn băng thông hạn chế, tiêu hao pin; và trong một số trường hợp, làm lộ các liên kết trong nội dung trò chuyện cần được mã hóa đầu cuối. Theo một báo cáo nghiên cứu được công bố cách đây ít lâu, các ứng dụng như Facebook, Instagram, LinkedIn và Line đều đã lọt vào danh sách sự cố.
Khi người gửi tin nhắn giới thiệu một liên kết trong nội dung sẽ gửi, ứng dụng sẽ hiển thị một đoạn văn bản (thường là tiêu đề của nội dung liên kết) và hình ảnh trong cửa sổ hộp thoại.
Để thực hiện việc này, bản thân ứng dụng (hoặc proxy được ứng dụng chỉ định) phải truy cập vào liên kết, mở tệp ở đó và điều tra nội dung, điều này có thể khiến người dùng bị tấn công. Nghiêm trọng nhất là những phần mềm có thể tải phần mềm độc hại xuống thiết bị cục bộ.
Các hình thức tấn công khác có thể buộc các ứng dụng tải xuống các tệp đủ lớn để khiến phần mềm gặp sự cố, hao pin hoặc tiêu tốn băng thông hạn chế trong khi liên kết đến các tài liệu riêng tư. Trong trường hợp, các dữ liệu được lưu trữ trong tài khoản trực tuyến (OneDrive hoặc DropBox) – máy chủ ứng dụng sẽ có cơ hội xem và lưu trữ vô thời hạn.
Video đang HOT
Talal Haj Bakry, Tommy Mysk, tác giả của báo cáo nghiên cứu mới này và các nhà phát triển ứng dụng di động, tin rằng Facebook, Messenger và Instagram là những vấn đề nghiêm trọng nhất.
Hai ứng dụng đầu tiên sẽ tải xuống và sao chép hoàn toàn tệp được liên kết, ngay cả khi kích thước tệp đạt đến gigabyte (mức GB); nếu tệp là thứ mà người dùng muốn giữ bí mật, đây có thể trở thành vấn đề nghiêm trọng hơn. Vấn đề tương tự cũng có thể xảy ra trong ứng dụng Instagram, vì nó sẽ khiến bất kỳ JavaScript nào dẫn đến liên kết chạy trên máy chủ xem trước.
Haj Bakry và Mysk đã báo cáo những phát hiện của họ cho Facebook, chủ sở hữu của Instagram và công ty nói rằng, cả hai ứng dụng liên quan đều hoạt động như bình thường. Facebook tuyên bố qua email rằng, máy chủ của họ chỉ tải xuống phiên bản rút gọn của hình ảnh chứ không phải tệp gốc và công ty không lưu trữ dữ liệu này. Email của Facebook cũng cho biết, máy chủ chạy JavaScript để kiểm tra tính bảo mật của tệp.
Tuy nhiên, Mysk khẳng định đã quan sát thấy Instagram tải xuống một tệp 2,6 GB (ISO Ubuntu có tên đã được đổi thành ubuntu.png) và ghi lại quá trình này. Ông cũng chỉ ra rằng, hầu hết các ứng dụng đều lọc JavaScript thay vì tải xuống và chạy nó trên máy chủ.
Hiệu suất của LinkedIn chỉ tốt hơn một chút. Sự khác biệt duy nhất là nó không sao chép hoàn toàn tất cả các tệp mà chỉ sao chép 50MB đầu tiên. Discord, Google Hangouts, Slack, Twitter và Zoom cũng sao chép tệp, nhưng giới hạn dữ liệu sao chép của chúng là từ 15MB đến 50MB.
Tương tự, khi ứng dụng Line mở tin nhắn được mã hóa và tìm thấy một liên kết, nó dường như sẽ gửi liên kết đến máy chủ của Line để tạo bản xem trước. “Chúng tôi tin rằng, điều này đi ngược mục đích của mã hóa end-to-end, bởi vì máy chủ Line biết tất cả các liên kết được gửi qua ứng dụng và ai đã chia sẻ liên kết nào với ai”, Haj Bakry và Mysk viết.
Có thể nói, báo cáo này là một lời nhắc nhở đối với người dùng rằng, thông tin cá nhân không phải lúc nào cũng “riêng tư” và bạn nên cân nhắc trước khi thiết lập tính năng xem trước liên kết trong các ứng dụng trò chuyện.
“Xem trước nội dung liên kết là một tính năng tốt, người dùng nói chung được hưởng lợi từ nó, nhưng chúng tôi đã chỉ ra ở đây các vấn đề khác nhau mà tính năng này có thể mắc phải nếu không xem xét kỹ lưỡng về quyền riêng tư và bảo mật”, Haj Bakry và Mysk nhấn mạnh.
2 tiêu chí hàng đầu của hạ tầng công nghệ khi xây dựng và phát triển ứng dụng
Thói quen "dựa dẫm" vào các ứng dụng trực tuyến đang dần trở thành xu thế chủ đạo theo sau bởi sự gia tăng dân số công nghệ. Điều này dẫn đến sự phát triển bùng nổ các công ty công nghệ, cùng với đó là các nhu cầu về hạ tầng ổn định, an toàn, bảo mật.
Đảm bảo sẵn sàng và bảo mật là yếu tố sống còn khi xây dựng và phát triển ứng dụng
Trong cuộc đua công nghệ khốc liệt kỷ nguyên 4.0, tối ưu trải nghiệm người dùng luôn là ưu tiên số 1. Đảm bảo ứng dụng vẫn chạy mượt mà dưới sức ép từ lượng traffic khổng lồ trong các khung giờ cao điểm người đọc, người xem, mua sắm... do đó là nhiệm vụ hàng đầu. Bởi chỉ 1 vài phút downtime (ngừng hoạt động) có thể thiệt hại tới hàng nghìn, hàng trăm nghìn thậm chí hàng triệu user.
Bảo mật ứng dụng trong khi đó cũng rất quan trọng, vì ngày nay, các ứng dụng thường khả dụng trên nhiều mạng khác nhau và được kết nối với đám mây. Điều này càng làm gia tăng các lỗ hổng bảo mật và các cuộc tấn công. Bởi ứng dụng luôn là miếng mồi béo bở để tin tặc đánh cắp thông tin giá trị. Vấn đề này cũng nghiêm trọng không kém khi so với downtime. Một khi dữ liệu người dùng, dữ liệu nhạy cảm của doanh nghiệp bị phơi bày ra ngoài kia, thiệt hại về tiền bạc, uy tín và thương hiệu sẽ không thể đo đếm được.
Bảo mật ứng dụng trong đám mây do đó là một thách thức buộc doanh nghiệp phải vượt qua trên chặng đường phát triển lâu dài. Vì môi trường đám mây cung cấp tài nguyên được chia sẻ, do đó phải được "xử lý" đặc biệt để đảm bảo rằng người dùng chỉ có quyền truy cập vào dữ liệu mà họ được phép xem trong các ứng dụng dựa trên đám mây. Dữ liệu nhạy cảm cũng dễ bị tấn công hơn trong các ứng dụng đám mây vì dữ liệu đó được truyền qua Internet từ người dùng đến ứng dụng và ngược lại.
Bảo vệ an toàn ứng dụng và đảm bảo tính sẵn sàng cao với đường truyền bảo mật VPN site to site
Sử dụng các mạng nội bộ kết nối với nhau qua các đường truyền "vô hình" trên mạng Internet là giải pháp hoàn hảo cho vấn đề hoạt động ổn định và an toàn của ứng dụng. BizFly VPN site to site kết nối 2 mạng nội bộ (mạng LAN - Local Area Network) với nhau trên một đường truyền an toàn, bảo mật giúp giải quyết khá nhiều các bài toán thực tế mà doanh nghiệp gặp phải trong xây dựng và phát triển ứng dụng.
Chúng ta có thể xem xét một tình huống cụ thể như sau:
Do đặc thù của ứng dụng, bên cạnh việc sử dụng dịch vụ đám mây, một số doanh nghiệp phát triển ứng dụng thường lựa chọn xây dựng thêm Private Cloud, và sau đó triển khai thêm Web Server trên Private Cloud đó để chạy App. Tuy nhiên, để đảm bảo hoạt động sẵn sàng và an toàn, các Web App buộc phải giao tiếp qua đường mạng LAN bởi việc sử dụng mạng WAN đòi hỏi nhiều thay đổi về cấu hình, và làm giảm tính bảo mật.
Kết hợp chạy các Web App trên BizFly Cloud Server, sau đó sử dụng VPN site-to-site để kết nối tới đầu BizFly Cloud chạy LAN to LAN là cách giải quyết hoàn hảo cho bài toán mô hình đám mây Multi Cloud - mô hình sử dụng nhiều Cloud cùng lúc. Các đám mây vẫn có thể giao tiếp với nhau trên 1 mạng LAN qua 1 đường truyền bảo mật, đảm bảo tính sẵn sàng cho hệ thống.
Hiện nay việc chạy các ứng dụng trên các máy chủ ảo Cloud rất phổ biến. Cũng giống như việc đặt máy chủ vật lý tại nhiều Datacenter khác nhau, các doanh nghiệp có thể chạy dịch vụ trên các Cloud Server của nhiều Cloud Provider khác nhau hoặc trên Private Cloud của riêng họ. Và từ mô hình Hybrid và Multi Cloud này, cũng sẽ nảy sinh nhu cầu cần kết nối mạng nội bộ Cloud (VPC) với nhau để trao đổi dữ liệu trong trạng thái an toàn, bảo mật và thông suốt. VPN site to site được áp dụng để giải quyết bài toán này.
Và với BizFly VPN site to site, người dùng có thể dễ dàng kết nối mạng nội bộ của Cloud Server trên BizFly Cloud với các Cloud Provider khác. Ngoài ra, giải pháp còn hỗ trợ việc kết nối từ BizFly Cloud đến Datacenter của khách hàng hay kết nối đến BizFly Cloud từ mạng văn phòng.
VPN site to site là sản phẩm thuộc BizFly Cloud - Nhà cung cấp đa dịch vụ điện toán đám mây với chi phí thấp nhất - được vận hành bởi VCCorp - Công ty dẫn đầu trong lĩnh vực truyền thông và công nghệ tại Việt Nam. BizFly Cloud hiện là nhà cung cấp hạ tầng đám mây cho nhiều đơn vị uy tín như VTV, Vingroup, Topica, Hệ thống Thẩm mỹ Thu Cúc, Đất Xanh Miền Bắc, Ahamove, Vntrip...
Người dùng Viettel có thể lướt mạng 4G cách bờ biển 100 km Viettel xác định phủ sóng biển đảo là nhiệm vụ quan trọng, nhằm đảm bảo nhu cầu thông tin liên lạc và quốc phòng an ninh, tiến tới xã hội số cả những nơi xa xôi nhất của tổ quốc. Với người trẻ Việt Nam hiện đại, Internet trở thành một phần không thể thiếu. Mỗi buổi sáng thức dậy, họ kiểm tra...