Theo TechSpot, một nghiên cứu mới đây của Citizen Lab thuộc Đại học Toronto (Canada) đã phát hiện ra những điểm yếu bảo mật tiềm ẩn trong giao thức mã hóa tùy chỉnh của WeChat, ứng dụng nhắn tin phổ biến nhất Trung Quốc với hơn một tỉ người dùng hoạt động hằng tháng.
Giao thức mã hóa tiềm ẩn rủi ro của WeChat
WeChat sử dụng giao thức mã hóa hai lớp, gồm lớp mã hóa 'lớp doanh nghiệp' cho nội dung tin nhắn và lớp MMTLS, một phiên bản sửa đổi của giao thức TLS 1.3 tiêu chuẩn. Tuy nhiên, nghiên cứu cho thấy lớp mã hóa này không bảo vệ được siêu dữ liệu nhạy cảm như ID người dùng và MMTLS sử dụng các vector IV kém an toàn, đi ngược lại với các phương pháp mã hóa hiện đại.
Mặc dù việc bổ sung MMTLS đã cải thiện đáng kể bảo mật tổng thể của WeChat so với các phiên bản trước, nhưng các nhà nghiên cứu vẫn lo ngại về việc WeChat không đáp ứng các tiêu chuẩn mã hóa dự kiến cho một ứng dụng có quy mô lớn như vậy.
Các nhà nghiên cứu cũng chỉ ra việc các nhà phát triển Trung Quốc tự tạo ra các hệ thống mã hóa tùy chỉnh thay vì sử dụng các tiêu chuẩn đã được thiết lập là một xu hướng đáng lo ngại. Những giải pháp này thường không hiệu quả bằng các giao thức phổ biến như TLS 1.3 hoặc QUIC.
Khuyến nghị từ chuyên gia
Citizen Lab khuyến nghị Tencent, công ty mẹ của WeChat, nên áp dụng TLS tiêu chuẩn hoặc kết hợp QUIC và TLS để tăng cường bảo mật cho ứng dụng, bảo vệ thông tin người dùng một cách tốt hơn.
Trong khi chờ đợi WeChat cải thiện giao thức mã hóa, người dùng nên cẩn trọng khi chia sẻ thông tin nhạy cảm trên ứng dụng này. Nên hạn chế gửi thông tin cá nhân quan trọng qua WeChat để tránh rủi ro bị lộ thông tin.
Bình luận (0)