Ứng dụng cuộc gọi trực tuyến Zoom dính lỗ hổng bảo mật nghiêm trọng

Ứng dụng Zoom gây tranh cãi

Nổi lên nhờ xu hướng làm việc từ xa, tuy nhiên, ứng dụng Zoom gần đây lại gây không ít tranh cãi liên quan tới chính sách chia sẻ dữ liệu và quyền riêng tư.

Ảnh minh họa: BI

Ứng dụng họp video Zoom đang trải qua thời kỳ tăng trưởng mạnh mẽ. Do dịch bệnh lan rộng, nhiều nước yêu cầu người dân chuyển sang làm việc và học tập tại nhà. Các phần mềm như Zoom trở nên phổ biến hơn hẳn. Theo MarketWatch, Zoom xếp đầu bảng trên kho ứng dụng của Apple và Google. Số người dùng mới của Zoom trong năm 2020 còn nhiều hơn số người dùng có được năm 2019.

Tuy nhiên, Zoom nổi lên lại đi liền với lo ngại về quyền riêng tư và cách công ty xử lý dữ liệu người dùng. Thậm chí, Zoom còn bị kiện vì cáo buộc chia sẻ thông tin với bên thứ ba như Facebook mà không thông báo cho người dùng hợp lý. Các cuộc gọi Zoom còn là mục tiêu của hình thức tấn công mới có tên "dội bom Zoom" (Zoom bombing) khi có kẻ xâm nhập vào cuộc họp, lớp học trực tuyến để truyền bá nội dung phản cảm. Gần đây nhất, The Intercept nêu lên câu hỏi về chất lượng mã hóa mà Zoom sử dụng để bảo mật cuộc gọi.

Những lo ngại như vậy không thể qua mắt mọi người. Văn phòng của Lettia James, Tổng chưởng lý New York, đã gửi thư tới cho Zoom hỏi về biện pháp tăng cường bảo mật khi lượng người sử dụng nhiều hơn bao giờ hết. Người phát ngôn công ty khẳng định Zoom luôn xem trọng bảo mật, quyền riêng tư và niềm tin của người dùng, cũng như sẵn lòng cung cấp cho Tổng chưởng lý thông tin được yêu cầu.

Cùng nhìn lại các quan ngại xoay quanh Zoom vài tuần qua:

Chia sẻ dữ liệu với Facebook

Theo Motherboard, ứng dụng Zoom trên iOS chia sẻ một số dữ liệu phân tích với Facebook bất chấp điều này không được nhắc đến trên chính sách bảo mật. Điều này xuất phát từ việc Zoom sử dụng bộ phát triển phần mềm của Facebook đứng sau tính năng "Đăng nhập với Facebook". Sau đó, Zoom đã loại bỏ đoạn mã gửi dữ liệu về Facebook. Theo công ty, dữ liệu được chia sẻ không bao gồm thông tin cá nhân mà chỉ có chi tiết về thiết bị của người dùng. Dù vậy, một người dùng Zoom vẫn đâm đơn kiện ứng dụng này tại California vì hành vi chia sẻ dữ liệu với Facebook mà không có cảnh báo.

Zoom bombing

FBI nhận được một số báo cáo về "Zoom bombing", xảy ra khi một kẻ xâm nhập được vào cuộc họp hay lớp học Zoom và gửi hình ảnh nhạy cảm, nội dung thù địch. Theo FBI Boston, trong một trường hợp, một kẻ la hét những từ tục tĩu, hét to địa chỉ nhà của giáo viên, còn trường hợp khác, người này chiếu biểu tượng phát xít.

Có một vài biện pháp người dùng có thể thực hiện để tránh bị "bom" Zoom, chẳng hạn công cụ "waiting room", cho phép người tổ chức cuộc gọi (host) xem xét ai được vào. FBI cũng gợi ý host nên đảm bảo mình là người duy nhất có khả năng chia sẻ màn hình, không nên chia sẻ liên kết dẫn đến hội thảo Zoom công khai.

Zoom đã khắc phục vấn đề và chia sẻ mẹo trên website để người dùng tránh gặp phải tình trạng tương tự. Người dùng cũng nên báo cáo các sự cố để công ty có hành động thích đáng.

Không thực sự hỗ trợ mã hóa đầu cuối

Trên website, Zoom cho biết dịch vụ gọi thoại và video hỗ trợ mã hóa đầu cuối để bảo mật các cuộc họp. Tuy nhiên, theo bài báo mới của The Intercept, thực tế không phải vậy. Mã hóa đầu cuối đồng nghĩa nội dung được bảo vệ hoàn toàn trước bên thứ ba, bao gồm cả Zoom.

The Intercept cho biết mã hóa mà Zoom sử dụng gần với loại mã hóa có tên "transport encryption", bảo mật kết nối giữa máy tính của người dùng và máy chủ bên ngoài. Nó tương tự cách URL dùng HTTPS để bảo mật kết nối giữa máy chủ website và máy tính truy cập.

Như vậy, The Intercept chỉ ra nội dung được bảo mật khi chia sẻ giữa các máy chủ Zoom và được bảo vệ khỏi kẻ xâm nhập thứ ba nhưng Zoom vẫn có thể truy cập. Zoom vẫn chưa phản hồi về cáo buộc này.

Mới đây, Zoom cũng đăng bài blog chia sẻ thông tin về chính sách bảo mật, ghi rõ không bán dữ liệu và theo dõi cuộc họp của người dùng sau khi tổ chức Consumer Reports và một số tờ báo khác đặt câu hỏi về chính sách thu thập dữ liệu.

Du Lam