Trần Phương Thảo, Tạ Đức Tùng, and Lê Đức Anh
Vietnamese Academic Network in Japan (VANJ), Tokyo, Nhật Bản

thao@vanj.jp, tung@vanj.jp, ducanh@vanj.jp

Tải bản PDF đầy đủ tại đây!

Tóm tắt nội dung

Dịch SARS-CoV-2 đem lại thử thách lớn cho toàn bộ xã hội. Một trong những thử thách đó là làm sao giúp mọi người làm việc từ nhà một cách hiệu quả. Các công cụ giúp liên lạc và họp video call đang nổi lên trở thành phương thức quan trọng trong việc giúp vận hành các tổ chức và doanh nghiệp. Tuy nhiên, cùng với đó, thế giới dấy lên một số nghi ngại về tính bảo mật và đảm bảo tính riêng tư trong thông tin liên lạc dựa trên nền tảng video call. Trong báo cáo này, nhóm tác giả muốn điểm qua một số công cụ video call phổ biến và ưu nhược điểm từ góc nhìn tính năng cũng như bảo mật.

Keywords: Ứng Dụng Video Conference, SARS-CoV-2, Bảo Mật, Hội Họp Trực Tuyến

1. Tổng Hợp Các Tính Năng Cơ Bản

Báo cáo này sẽ đề cập đến các tính năng cơ bản và vấn đề bảo mật của 9 ứng dụng video conference phổ biến nhất hiện nay bao gồm: Zoom, Team (Microsoft), WebEx (Cisco), Hangouts (Google), Skype, Facebook, Line, Jitsi, và Hubs (Mozilla). Trong đó, 2 ứng dụng cuối (Jitsi và Hubs) là ứng dụng open-source (mã nguồn mở).

Mỗi ứng dụng có thể có nhiều hệ thống như: Chat Group (chat nhóm), Audio Group Call (gọi nhóm chỉ nghe tiếng), Video Group Call (gọi nhóm nghe tiếng và hình). Tuy nhiên báo cáo này tập trung cho hệ thống Video Group Call. Lưu ý rằng báo cáo tổng hợp này được cập nhật vào ngày 13/04/2020. Các tính năng của từng ứng dụng có thể khác trong quá khứ và có thể thay đổi trong tương lai. Bảng 1 tổng hợp các tính năng cơ bản của mỗi ứng dụng bao gồm:

Web: hỗ trợ ứng dụng chạy trực tiếp trên trình duyệt web
App (Windows): hỗ trợ tải và chạy ứng dụng trên hệ điều hành Windows (máy bàn/ laptop)
App (MacOS): hỗ trợ tải và chạy ứng dựng trên hệ điều hành MacOS (máy bàn/ laptop)
App (iOS): hỗ trợ tải và chạy ứng dựng trên hệ điều hành MacOS (điện thoại iPhone)
App (Android): hỗ trợ tải và chạy ứng dựng trên hệ điều hành Android (điện thoại Android)
Max #participants: số người lớn nhất có thể tham gia vào một cuộc gọi
End-to-end (E2E) encryption: mã hoá end-to-end.
Can join w/o account: có thể tham gia mà không cần có tài khoản
Record: hỗ trợ ghi lại cuộc họp
Free version: có phiên bản miễn phí hay không
Paid version pricing: có phiên bản thương mại hay không và phí sử dụng hàng tháng (tính trên US dollar) nếu có.
Private background: hỗ trợ giấu phông nền của người dùng như việc làm mờ (blur background), gắn phông nền ảo (virtual background).

2. Vấn Đề Bảo Mật của Từng Ứng Dụng

Trước khi đi vào chi tiết từng ứng dụng, cần nói qua về mục số 7 (mã hóa E2E) trong bảng 1.

Tại sao mã hoá E2E được dùng để đánh giá độ bảo mật của các ứng dụng? Mã hoá E2E được biết đến rộng rãi như một giao thức truyền tin riêng tư tốt nhất trên Internet, dùng để ngăn chặn việc dữ liệu bị đọc được hoặc sửa đổi một cách bí mật. Các gói tin được mã hóa bởi người gửi và chỉ có người nhận mới có thể giải mã được. Mọi bên thứ 3 đều không thể giải mã.

2.1. Zoom

Zoom được thành lập ngày 21/04/2011. Zoom có trụ sở chính tại Mỹ (bang California). CEO là Eric Yuan (người Trung Quốc). Eric Yuan trước đây cũng là phó giám đốc kỹ thuật của WebEx (Cisco). Dù có trụ sở chính ở thung lũng Silicon, Zoom có 3 công ty con tại Trung Quốc với hơn 700 nhân viên phát triển phần mềm cho Zoom [12]. Trong tài liệu của Zoom [2], Zoom được cho là có các phương thức bảo mật cơ bản sau. Clients kết nối với servers thông qua HTTPS (port 443/TLS). Đường truyền được thành lập dùng 256-bit TLS. Nội dung bao gồm cả màn hình chia sẻ (screen sharing) và các tài liệu chia sẻ (presentation) được mã hoá dùng TLS 1.2 với hệ mã AES-256. Phương thức chứng thực (authentication) sử dụng Single Sign-On (SSO) với SAML hoặc OAuth. Tuy nhiên, thời gian vừa qua, Zoom gặp nhiều lỗ hổng bảo mật và nhận nhiều hậu quả lớn.

Định tuyến cuộc gọi (call routing) sang Trung Quốc. Ngày 03/04/2020, các nhà nghiên cứu về bảo mật tại Citizen Lab (đại học Toronto, Canada) đã công bố rằng một số cuộc gọi của người dùng Zoom ở Bắc Mỹ được chuyển tới Trung Quốc [12]. Chỉ vài giờ sau công bố này, CEO Eric Yuan đã phải xin lỗi và thừa nhận Zoom định tuyến “nhầm” các cuộc gọi đến Trung Quốc, nhưng không nói có bao nhiêu người dùng bị ảnh hưởng. Đồng thời, đưa ra lời giải thích rằng: để giảm tải việc xử lý dữ liệu những khi lưu lượng truy cập lớn, dữ liệu được chuyển đến trung tâm dữ liệu gần nhất với sức chứa khả dụng lớn nhất. Dù vậy đi nữa, các trung tâm dữ liệu của Zoom ở Trung Quốc cũng không được sử dụng để định tuyến lại các cuộc gọi của người dùng không phải là người Trung Quốc. Việc này đưa đến những lo ngại lớn về quyền riêng tư bởi Trung Quốc không thực thi luật bảo mật dữ liệu nghiêm ngặt và có thể yêu cầu Zoom giải mã nội dung của các cuộc gọi được mã hóa

Dùng thuật toán mã hoá yếu, sử dụng khoá mã hoá được cấp phát từ server Trung Quốc. Zoom nói rằng họ sử dụng hệ mã AES-256. Tuy nhiên, các nhà khoa học [12] tìm thấy rằng trong mỗi một cuộc họp của Zoom đều có một khoá mã hoá AES-128 được sử dụng trong chế độ ECB (ECBmode) bởi tất cả những người tham gia để mã hóa và giải mã âm thanh và video. Tuy nhiên, một kiến thức khá phổ thông rằng: nếu dùng ECB mode, các mẫu (patterns) trong bản rõ (plaintext – nội dung chưa được mã hoá) sẽ luôn được lưu lại trong quá trình mã hóa. Hơn nữa, các khóa AES-128 (đã được xác minh là đủ để giải mã các gói tin Zoom bị chặn trên đường truyền) được cấp phát bởi các server của Zoom, trong nhiều trường hợp, các khoá này được gửi đến người tham gia họp từ server ở Trung Quốc, ngay cả khi tất cả những người tham gia và công ty của người đăng ký Zoom không ở Trung Quốc.

Không mã hoá E2E. Mặc dù Zoom tuyên bố trước đó là có mã hoá E2E, thực tế cho thấy Zoom hoàn toàn không mã hoá E2E. Khi được hỏi trực tiếp về điều này, người phát ngôn của Zoom đã thừa nhận “Currently, it is not possible to enable E2E encryption for Zoom video meetings. Zoom video meetings use a combination of TCP and UDP. TCP connections are made using TLS and UDPconnections are encrypted with AES using a key negotiated over a TLS connection” [13] (Hiện tại, các video meeting của Zoom không thể thực hiện mã hóa E2E. Các video meeting này sử dụng sự kết hợp giữa TCP và UDP. Các kết nối TCP được tạo bằng TLS và các kết nối UDP được mã hóa với AES bằng cách sử dụng khóa được đàm phán qua kết nối TLS.) Sử dụng TLS là một loại transport encryption, khác với mã hóa E2E. Zoom kiểm soát các khóa mã hóa và có thể truy cập vào nội dung của người dùng. Giáo sư mật mã học Matthew Green tại trường đại học Johns Hopkins chỉ ra rằng Zoom rất khó để mã hóa E2E. Vì Zoom cần phát hiện ra người dùng nào đang nói để chọn videostream ở độ phân giải cao từ người đang nói và chỉ chọn video stream ở độ phân giải thấp cho những người còn lại. Thủ tục này tương tự như việc tối ưu hóa đường truyền. Việc tối ưu hoá này sẽ dế dàng hơn cho Zoom nhiều khi có thể thấy được bản rõ (plaintext) hay còn gọi là nội dung không được mã hoá. Nếu chọn mã hoá E2E thì cần phải thêm các cơ chế bổ sung để đảm bảo việc phát hiện được người dùng nào đang nói theo cách không làm rò rỉ thông tin. Dù đây là một trade-off nhưng việc này là điều hoàn toàn có thể. Ví dụ như dịch vụ FaceTime của Apple.

Gửi dữ liệu cho Facebook. Hacker chiếm quyền điều khiển các meetings. Ngày 26/03/2020, Motherboard đã công bố một bản báo cáo cho thấy ứng dụng Zoom iOS chia sẻ dữ liệu người dùng với Facebook ngay cả khi người dùng không có tài khoản Facebook. Việc chia sẻ dữ liệu này không phải là hiếm, đặc biệt là đối với Facebook. Nhiều ứng dụng sử dụng bộ công cụ phát triển phần mềm (SDK) của Facebook để triển khai các tính năng vào ứng dụng của họ dễ dàng hơn. Tuy nhiên, vấn đề ở đây là người dùng Zoom không biết là dữ liệu của mình đang bị chia sẻ với một bên thứ 3 khác. Từ cuối tháng 3/2020, đã có liên tục nhiều báo cáo về việc hacker chiếm quyền điều khiển meeting và các lớp học trực tuyến trên Zoom. Hai trường hợp đầu tiên ở Massachusetts: Trường hợp thứ 1, hacker chiếm màn hình và hiển thị lên hình xăm chữ vạn; Trường hợp thứ 2, hacker đã dùng những lời thô tục và nói địa chỉ nhà của giáo viên. Sau đó là tại New York, hacker chiếm quyền trong cuộc họp của Hội đồng quản trị Esopus Town Board và nói về nạn phân biệt chủng tộc.

Những thỏa thuận và chính sách đáng hoài nghi về tính riêng tư của dữ liệu người dùng. Trước đây, các tài liệu về bảo vệ quyền riêng tư dữ liệu của khách hàng trên website chính thức của Zoom có đề cập rằng “Whether you have Zoom account or not, we may collect Personal Data from or about you when you use or otherwise interact with our Products” (dù bạn có tài khoản Zoom hay không, chúng tôi có thể thu thập dữ liệu cá nhân từ bạn hoặc về bạn khi bạn sử dụng hoặc tương tác với sản phẩm của chúng tôi). Trong khi đó, hãy thử so sánh với ứng dụng Team (Microsoft), thoả thuận về quyền riêng tư có ghi “does not use your data for anything other than providing you with the service that you have subscribed to.” (không sử dụng dữ liệu cho bất kỳ điều gì ngoài việc cung cấp về dịch vụ mà bạn vừa đăng ký). Cho dù đây chỉ là những mô tả trong bản thoả thuận với người dùng, có thể thấy được những hoài nghi nhất định về việc thu thập dữ liệu cá nhân của Zoom. Sau nhiều tai tiếng về bảo mật gần đây của Zoom, dòng mô tả này đã được xóa bỏ khỏi website chính thức của Zoom.

FBI (Cục điều tra liên bang Mỹ) cảnh báo và hàng loạt tổ chức chính phủ và doanh nghiệp cấm nhân viên sử dụng Zoom. Các tổ chức và công ty tuyên bố cấm sử dụng Zoom bao gồm: Google [3], Chính phủ Đài Loan [4], Bộ Thương mại Chính phủ Đức [5], Bộ Giáo Dục Chính phủ Singapore [7], các trường công lập New York [6], SpaceX [8], NASA [8]. Ngày 30/03/2020, trên trang web chính thức của FBI [9] đã cảnh báo Zoom và đăng rõ 5 điểm đối với người dùng. Thứ nhất, không được cài đặt các cuộc họp hoặc lớp học online ở chế độ công khai. Trong Zoom, có hai tùy chọn để đặt cuộc họp riêng tư: bắt buộc phải đặt mật khẩu cho các cuộc họp hoặc sử dụng tính năng “waiting room”. Tính năng này cho phép host (người chỉ trì cuộc họp) kiểm soát khi một người tham gia cuộc họp của mình. Thứ hai, không được chia sẻ liên kết của một hội nghị teleconference hoặc lớp học trên mạng xã hội ở chế độ công khai không hạn chế. Chỉ được cung cấp liên kết trực tiếp đến những người cụ thể. Thứ ba, quản lý các tùy chọn chia sẻ màn hình. Trong Zoom, thay đổi chia sẻ màn hình sang chế độ “Host Only”. Thứ tư, đảm bảo người dùng sử dụng phiên bản cập nhật mới nhất của ứng dụng. Vào tháng 1 năm 2020, Zoom đã cập nhật phần mềm của họ. Trong bản cập nhật bảo mật của Zoom, Zoom đã thêm mật khẩu một cách mặc định cho các cuộc họp và vô hiệu hóa khả năng quét ngẫu nhiên các cuộc họp để tham gia. Cuối cùng, phải đảm bảo rằng các chính sách và hướng dẫn về việc làm việc hội họp từ xa của mỗi tổ chức phải đạt các yêu cầu về bảo mật thông tin cũng như bảo mật về mặt vật lý.

2.2. Team (Microsoft)

Microsoft đã công bố Team tại New York và cho ra mắt dịch vụ vào ngày 14/03/2017. Team được tạo ra từ một cuộc thi hackathon nội bộ tại công ty, và hiện đang được dẫn dắt bởi Brian MacDonald, đồng thời cũng là Phó Chủ Tịch Tập Đoàn (Corporate Vice President) tại Microsoft. Sau nhiều biến cố về bảo mật của Zoom, Team hiện tại thu hút được một lượng đông đảo người dùng. Tuy nhiên, nói về bảo mật, Team cũng có một điểm yếu từ Zoom, đó là việc không hỗ trợ mã hoá E2E. Thay vì vậy, theo tài liệu chính thức của Microsoft [10], dữ liệu Team sẽ được mã hoá “in transit and at rest”. Điều này có nghĩa là, dữ liệu không được mã hóa ở hệ thống hoặc thiết bị của người gửi và không chỉ người nhận mới có thể giải mã được. Ngoài ra, Team tuân theo TierD-compliant bao gồm các tiêu chuẩn: ISO 27001, ISO 27018, SSAE16 SOC 1 và SOC 2, HIPAA [11]. Tuy vậy, Team cũng gặp những biến cố về bảo mật trong quá khứ.

Lỗ hổng của Team từ Squirrel. 02/07/2019, nhà nghiên cứu bảo mật Reegun Richard đã tìm thấy một lỗ hổng của Team cho phép bất kỳ người dùng nào chèn mã độc vào ứng dụng để mở rộng quyền kiểm soát [14]. Lỗ hổng này được thực thi bằng một lệnh cập nhật trên phiên bản desktop của ứng dụng: %localappdata%/Microsoft/Teams/update.exe. Nguyên nhân chính là do Team sử dụng Squirrel (một dự án mã nguồn mở dùng để giám sát việc cài đặt và cập nhật thường trình) và NuGet package để quản lý files. Richard phát hiện ra mình có thể thực thi mã độc từ một chuỗi nhị phân hợp pháp của Microsoft và có thể chiếm quyền kiểm soát hệ thống. Microsoft đã thừa nhận lỗ hổng và được đã cập nhật bản vá ngay sau đó.

2.3. WebEx

WebEx được thành lập ngày 15/03/2007, có cơ sở chính tại Mỹ (California). Trước khi được Cisco mua lại, WebEx là ứng dụng nổi bật trong NASDAQ Global Select Market. Theo tài liệu chính thức của WebEx [15], WebEx có mã hoá E2E. Vì vậy mà Webex cloud không thể giải mã được media streams. WebEx thiết lập kênh TLS cho việc kết nối giữa server-client. Tất cả clients đều tạo cặp khoá mã hoá và gửi khoá công khai (public key) cho host của client. Host tạo khóa đối xứng (symmetric key) sử dụng Crypto graphically Secure Pseudo-Random Number Generator(CSPRNG), mã hóa khoá đối xứng sử dụng khoá công khai mà client gửi tới, và gửi đi bản mã của khoá đối xứng cho client. Nội dung từ phía client được mã hóa bằng khóa đối xứng. Nội dung này không thể được giải mã bởi Webex server. Vì mã hoá E2E, nên 1 số tính năng sau không được hỗ trợ:

Tham gia trước host
Telepresence Video End Points (trước đây gọi là Collaboration Meeting Rooms Cloud)
Cisco Webex Meetings Web App
Linux clients
Network-Based Recording (NBR)
Lưu lại session data, Transcripts, Meeting Notes
Chia sẻ Remote Computer
Upload file chia sẻ lên meeting vào cuối meeting
PSTN Call-in/Call-back

Người lạ có thể vào private meeting mà không cần password và một số bản vá bảo mật khác trong quá khứ. Gần đây nhất ngày 05/03/2020 [16], WexEx đã khắc phục một lỗ hổng nghiêm trọng ở mức độ cao cho phép người lạ tham gia vào các cuộc họp được bảo vệ bằng mật khẩu mà không cần xác thực. Tất cả những gì mà hacker cần chỉ là ID cuộc họp và ứng dụng di động Webex cho iOS hoặc Android. Lỗ hổng này có mã CVE-2020-3127 và CVE-2020-3128. Ngoài ra, có 1 số các bản vá bảo mật khác trong quá khứ như: CVE-2017-3823 (cập nhật 2017), CVE-2013-3425 (cập nhật 2017), CVE-2012-6399 (cập nhật 2013), CVE-2009-2880 (cập nhật 2017), CVE-2009-2879 (cập nhật 2017), CVE-2009-2878 (cập nhật 2017), CVE-2009-2877 (cập nhật 2017). CVE-2009-2876 (cập nhật 2017), CVE-2009-2875 (cập nhật 2017) [17].

2.4. Hangouts

Hangouts thuộc Google, được công bố ngày 15/05/2013. Google không sử dụng mã hóa E2E. Thayvào đó, nội dung được mã hóa “in transit”. Có nghĩa là nội dung chỉ được mã hóa trên kết nối giữa thiết bị của người dùng và các servers của Google. Khi nội dung tới được server rồi thì Google có quyền truy cập hoàn toàn vào nội dung. Tuy nhiên, người dùng có thể chọn chế độ “giao tiếp riêng tư” (private communication sessions) và chuyển thông tin đó đến các cơ quan chính phủ. Báo cáo về sự minh bạch của Google (Google’s Transparency) có nói rõ rằng công ty thực sự nhận được và thường xuyên thực hiện các yêu cầu về thông tin khách hàng. Vì không mã hoá E2E, Hangouts không hỗtrợ nhiều người dùng như các ứng dụng khác (Bảng 1 cho thấy Hangouts chỉ hỗ trợ tối đa 10 người dùng cho bản free và 25 người dùng cho bản trả tiền).

Standard Chartered cấm nhân viên sử dụng Hangouts. Đầu tuần tháng 4/2020, CEO Bill Winters của Standard Chartered – một ngân hàng nổi tiếng trên thế giới có trụ sở tại Anh – đã cấm nhân viên sử dụng Zoom và Google Hangouts [20]. Qua nhiều biến cố về lỗ hổng bảo mật gần đây của Zoom thì có thể hiểu được lý do cấm dùng Zoom là chính đáng. Tuy nhiên, lý do cấm Hangouts (chỉ vì dựa trên platform của hãng Alphabet Inc.) là chưa rõ ràng.

Hangouts thu hút phishing và malware hackers. Các nhà nghiên cứu an ninh mạng tại Check Point Research cũng phát hiện ra nhiều hackers đang tấn công các video conference như Google Hangouts và Google Classroom [21]. Người phát ngôn đã nói: “Check Point Research observed new phishing websites for each one of the leading communication applications, including googloclassroom(dot)com and googieclassroom(dot)com, which impersonate the official classroom.google.com website” (Check Point Research đã quan sát thấy các trang web phishing (lừa đảo) mới cho mỗi ứng dụng giao tiếp hàng đầu, bao gồm googloclassroom(dot)com và googieclassroom(dot)com, mạo danh trang web chính thức của classroom.google.com).

2.5. Skype

Skype được công bố ngày 29/08/2003. Sau đó Microsoft mua lại Skype vào 5/2011. Bắt đầu từ tháng 1/2018, Skype đã thiết lập mã hoá E2E [18] cho tất cả các platforms Skype iOS, Android, Linux, Mac, và Windows Desktop. Skype là một trong số ít các ứng dụng có hỗ trợ mã hoá E2E. Tuy nhiên, Skype cũng gặp nhiều lỗ hổng về bảo mật.

Hacker có thể cướp quyền kiểm soát hệ thống. Một số bản vá bảo mật trong quá khứ. Năm 2018, một lỗi bảo mật trầm trọng thu hút đông đảo giới truyền thông. Microsoft đã thừa nhận lỗ hổng bảo mật có thể cho phép hacker giành được quyền kiếm soát hệ thống đối với một số máy tính trên hệ điều hành Windows [22]. Lỗi này được phát hiện bởi nhà nghiên cứu bảo mật Stefan Kanthak, người đã tìm ra bản cập nhật Skype có thể bị lừa tải mã độc thay vì các thư viện phù hợp. Hacker chỉ cần đặt một DLL giả vào thư mục tạm thời của người dùng để có thể truy cập hệ thống. Một khi quyền truy cập hệ thống được cấp, hacker có thể làm bất cứ điều gì mình muốn. Bản lỗi này có ID CVE-2017-6517 (cập nhật 2019). Ngoài ra có một số bản vá bảo mật khác trong quá khứ đã được công bố: CVE-2019-0932 (cập nhật 2019), CVE-2018-0595 (cập nhật 2018), CVE-2018-0594 (cập nhật 2018), CVE-2017-9948 (cập nhật 2017), CVE-2016-5720 (cập nhật 2017) [23].

2.6. Facebook

Facebook được thành lập vào 04/02/2004. Facebook hiện tại chỉ hỗ trợ mã hoá E2E khi người dùng chọn chế độ “Secret Conversation mode”. Facebook cho biết việc mã hoá E2E để ở chế độ mặc định sẽ mất nhiều năm [19]. Facebook có rất nhiều lỗ hổng bảo mật trong quá khứ.

Data Breach 2017: 50 triệu người dùng bị đánh cắp dữ liệu. Một trong những vụ tiếng tăm nhất là năm 7/2017 đến 9/2018, hơn 50 triệu người dùng đã bị đánh cắp access tokens (mã truy cập) [24]. Nguyên nhân là Facebook vô tình giới thiệu ba lỗ hổng trong trình video uploader của mình. Khi sử dụng tính năng “View As” để xem profile của người dùng với tư cách của người khác, video uploader thỉnh thoảng sẽ xuất hiện mà nó không nên được hiển thị trên màn hình người dùng. Khi video uploader hiển thị, nó đã tạo ra một mã thông báo truy cập (access token) bằng cách sử dụng người mà profile đang được “View As”. Hacker sau đó dùng Facebook developer APIs để download các thông tin như tên, giới tính, quê quán. Thậm chí có thể đăng nhập vào tài khoản người dùng khác khi có được access token.

Data Breach 2018: 87 triệu người dùng bị truy cập trái phép. Năm 2018, công ty chuyên về phân tích bảo mật Cambridge Analytica [25] đã thông báo họ có thể truy cập trên hơn 87 triệu dữ liệu của người dùng Facebook, chủ yếu ở Hoa Kỳ (97%). Nguyên nhân là nhiều người dùng đã cài đặt This Is Your Digital Life. Dưới sức ép của chính phủ, Cambridge Analytica nói đã xoá những dữ liệu trái phép này. Tuy nhiên, người dùng vẫn lo ngại không biết thực sự Cambridge Analytica có xóa thật hay không. Facebook một lần nữa bị chỉ trích nặng nề.

Data Breach 2019: 267 triệu người dùng bị đánh cắp dữ liệu. Tháng 12/2019, hơn 267 triệu người dùng đã bị tiết lộ dữ liệu cá nhân [26] bao gồm tên, Facebook ID và số điện thoại. Dữ liệu này đã được công khai lên một số cơ sỡ dữ liệu online mà không có trường mật khẩu. Con số chính xác được chưa ra là 267,140,436. Hầu hết người dùng bị lộ là từ Mỹ. Nguyên nhân được cho là những tài khoản bị tấn công đã truy cập vào các tin nhắn giả mạo và các thủ thuật lừa đảo.

Data Breach 2020: 306 triệu người dùng bị đánh cắp dữ liệu. Liên quan tới vụ Data Breach 2019, con số được cập nhật tới ngày 6/3/2020 lên đến 306 triệu [26]. Đây là lịch sử của cuộc tấn công:

4/12/2019: Cơ sở dữ liệu bị index trên các các công cụ tìm kiếm (search engine).
12/12/2019: Dữ liệu được đăng tải trên diễn đàn hacker.
14/12/2019: Diachenko đã phát hiện ra cơ sở dữ liệu và ngay lập tức gửi báo cáo đến ISP quản lý địa chỉ IP của server.
19/12/2019: Truy cập vào cơ sở dữ liệu đã bị xóa.
2/3/2020: Một server thứ hai chứa các records với 42 triệu tài khoản bị index trên công cụ tìm kiếm BinaryEdge.
4/3/2020: Diachenko đã phát hiện ra server thứ hai và thông báo cho nhà cung cấp dịch vụ.
4/3/2020: Server bị tấn công và phá hủy bởi các hackers vô danh.

Facebook Messenger có một lỗ hổng cho phép hacker nhìn thấy người dùng liên hệ với ai. Theo nhóm nghiên cứu bảo mật Imperva [27], Facebook Messenger có một lỗ hổng hacker có thể sử dụng bất kỳ trang web nào để tiết lộ người dùng đã nhắn tin với ai. Lỗi này đã được tiết lộ cho Facebook vào tháng 11/2018 và sau đó được vá. Trong vụ này, hackers nhắm mục tiêu vào các trình duyệt web của người dùng Facebook và khai thác các yếu tố iframe để xem bạn bè nào mà người dùng đã nói chuyện mà không có trong danh sách liên hệ của người dùng. Cũng may là Imperva xác nhận các tin tặc không thể kiếm được bất kỳ dữ liệu nào khác từ vụ tấn công này. Cho đến bây giờ, dù đã có bản vá, người dùng Messenger nên hiểu rằng mình rất dễ bị tấn công nếu truy cập vào các trang web độc hại bằng Chrome và sau đó nhấp vào trang web trong khi họ vẫn đăng nhập vào Facebook. Điều đó sẽ cung cấp cho hackers quyền truy cập để chạy bất kỳ truy vấn nào trên tab Facebook mới và trích xuất dữ liệu cá nhân.

2.7. Line

Line có công ty mẹ là tập đoàn Naver của Hàn Quốc. Năm 2012, Naver thành lập công ty con tại Nhật Bản lấy tên NHN Japan. Năm 2013, NHN Japan đổi tên thành Line Corporation. Tháng 6/2015, Line đã ra mắt một ứng dụng mới có tên “Popcorn buzz” vào tháng 6 năm 2015 hỗ trợ cuộc gọi nhóm với tối đa 200 người dùng. Với gọi nhóm, Line chỉ hỗ trợ mã hoá E2E cho gọi 1-1 mà không hỗ trợ cho gọi nhóm [28]. Với gọi nhóm, Line chỉ mã hoá “Transport-level” (dùng LEGY encryption hoặc HTTPS). Đối với Line Message (chat chứ không phải gọi nhóm) thì Line hỗ trợ mã hoá E2E.

2 điểm yếu trong mã hoá E2E (nói thêm về ứng dụng tin nhắn, chứ không phải về group call như tập trung trong báo cáo này). Một số nhà nghiên cứu bảo mật tại đại học New Mexico và Citizen Lab tại đại học Toronto đã tìm thấy 2 điểm yếu trong ứng dụng Line Message khi hỗ trợ mã hoá E2E.

Thứ nhất, một giao thức mã hóa E2E được thiết kế tốt nên có đặc tính là nếu cả người gửi và người nhận đều xóa tin nhắn, sẽ không có cách nào để khôi phục nó ngay cả khi các khóa mã hoá riêng và ngay cả khi thiết bị của họ bị xâm phạm. LINE không có thuộc tính này và vì vậy việc xóa các tin nhắn LINE không mang lại sự đảm bảo an toàn.
Line khi lập trình có một số reverse engineer không đồng nhất với một số lý thuyết trong mật mã học. Khi các kỹ sư mật mã không tuân theo các thực tiễn tốt nhất (best practices) sẽ làm cho các kỹ sư mật mã độc lập không thể chứng thực được tính bảo mật của sản phẩm.

2.8. Jitsi

Jitsi là một trong số ít những ứng dụng mã nguồn mở. Jitsi lần đầu được công bố từ năm 2003 bởi Emil Ivov tại trường đại học Strasbourg, viết bằng ngôn ngữ Java. Người dùng có hai lựa chọn khi sử dụng Jitsi:

Sử dụng hệ thống máy chủ dựng sẵn của Jitsi
Tự triển khai hệ thống máy chủ riêng (có hỗ trợ docker)

Hiện tại hệ thống máy chủ dựng sẵn của Jitsi hỗ trợ tối đa 75 người tham dự. Tuy nhiên, với đặc tính mở của hệ thống, người dùng vẫn có khả năng tăng giới hạn tối đa số người tham dự. Giới hạn này tuỳ thuộc nhiều vào năng lực tính toán của hệ thống máy chủ riêng.

Jitsi giữa tháng 4/2020 đã công bố hỗ trợ mã hoá E2E [29] và đang trong giai đoạn kêu gọi người dùng giúp đỡ báo cáo các lỗi bảo mật để phát triển hoàn chỉnh tính năng này.

2.9. Mozilla Hubs

Hubs là sản phẩm của Mozilla được công bố ngày 26/04/2018. Hubs là hệ thống mã nguồn mở giúp tổ chức các buổi gặp online qua hệ thống thực tế ảo. Người dùng có thể trải nghiệm Hubs trên máy tính, điện thoại, hoặc các thiết bị đeo thực tế ảo (VR Headset).

Người tổ chức sự kiện hoàn toàn có thể thay đổi thiết kế của không gian 3D của phòng họp cho phù hợp với nhu cầu (phòng họp nhỏ, hội trường họp lớn, lớp học, hoặc giảng đường). Ngoài việc áp dụng vào hội họp và hội thảo, hệ thống có thể được áp dụng vào việc xây dựng phòng học ảo trực quan và giúp học sinh tập trung trong phòng học hơn.

Hiện tại, hệ thống Hubs hỗ trợ triển khai hệ thống máy chủ trên nền tảng điện toán đám mây của Amazon. Về nguyên tắc, người tổ chức sự kiện sẽ nắm toàn bộ thông tin của trước, trong, và sau sự kiện.

Nhược điểm: Hiện tại, Hubs chưa mặc định hỗ trợ việc triển khai máy chủ trên máy chủ riêng.

Tài liệu

[1] “Zoom vs. Skype: A Comparison of Video Conferencing Platforms”. https://www.dgicommunications.com/zoom-vs-skype/#pricing. Truy cập gần nhất: 13/04/2020.

[2] Zoom’s White Paper. https://zoom.us/docs/doc/Zoom-Security-White-Paper.pdf. Truy cập gần nhất: 14/04/2020.

[3] “Google Told Its Workers That They Can’t Use Zoom On Their Laptops Anymore”. https://www.buzzfeednews.com/article/pranavdixit/google-bans-zoom. Truy cập gần nhất: 15/04/2020.

[4] “Taiwan tells agencies not to use Zoom on security grounds”. Reuters News. https://www.reuters.com/article/us-zoom-video-commn-privacy-taiwan-idUSKBN21P1MK. Truy cập gần nhất: 15/04/2020.

[5] “German foreign ministry restricts use of Zoom over security concerns”. Reuters News. https://www.reuters.com/article/us-health-coronavirus-germany-zoom-idUSKBN21Q1SC. Truy cập gần nhất: 15/04/2020.

[6] “New York City schools won’t be using Zoom anymore because of security concerns”. CNN News. https://edition.cnn.com/2020/04/04/us/nyc-schools-zoom-online-security/index.html. Truy cập gần nhất: 15/04/2020.

[7] “Singapore stops teachers using Zoom app after ‘very serious incidents”’. Reuters News. https://www.reuters.com/article/us-zoom-video-comm-privacy-singapore/singapore-stops-teachers-using-zoom-app-after-very-serious-incidents-idUSKCN21S0AH?feedType=RSS&feedName=topNews. Truy cập gần nhất: 15/04/2020.

[8] “Elon Musk’s SpaceX bans Zoom over privacy concerns -memo”. Reuters News. https://www.reuters.com/article/us-spacex-zoom-video-commn/elon-musks-spacex-bans-zoom-over-privacy-concerns-memo-idUSKBN21J71H. Truy cập gần nhất: 15/04/2020.

[9] “FBI Warns of Teleconferencing and Online Classroom Hijacking During COVID-19 Pandemic”. https://www.fbi.gov/contact-us/field-offices/boston/news/press-releases/fbi-warns-of-teleconferencing-and-online-classroom-hijacking-during-covid-19-pandemic/layout_view. Truy cập gần nhất: 15/04/2020.

[10] “Security and compliance in Microsoft Teams”. https://docs.microsoft.com/en-us/microsoftteams/security-compliance-overview. Truy cập gần nhất: 15/04/2020.

[11] “Microsoft 365 compliance documentation”. https://docs.microsoft.com/en-us/microsoft-365/compliance/?view=o365-worldwide. Truy cập gần nhất: 15/04/2020.

[12] Bill Marczak và John Scott-Railton, “Move Fast and Roll Your Own Crypto A Quick Look at the Confidentiality of Zoom Meetings”. https://citizenlab.ca/2020/04/move-fast-roll-your-own-crypto-a-quick-look-at-the-confidentiality-of-zoom-meetings/. Truy cập gần nhất: 15/04/2020.

[13] “Zoom Meetings Aren’t End-to-end Encrypted, Despite Misleading Marketing”. https://theintercept.com/2020/03/31/zoom-meeting-encryption/. Truy cập gần nhất: 16/04/2020.

[14] J. Reegun, “Nuget/Squirrel uncontrolled endpoints leads to arbitrary code execution”. https://medium.com/@reegun/nuget-squirrel-uncontrolled-endpoints-leads-to-arbitrary-code-execution-80c9df51cf12. Truy cập gần nhất: 16/04/2020.

[15] https://help.webex.com/en-us/WBX44739/What-Does-End-to-End-Encryption-Do. Truy cập gần nhất: 16/04/2020.

[16] High-Severity Cisco Webex Flaws Fixed. https://threatpost.com/high-severity-cisco-webex-flaws-fixed/153462/. Truy cập gần nhất: 16/04/2020.

[17] https://www.cvedetails.com/vulnerability-list/vendor_id-16/product_id-18500/Cisco-Webex.html. Truy cập gần nhất: 16/04/2020.

[18] Skype starts testing new ‘private conversations’ with end-to-end encryption. https://www.theverge.com/2018/1/11/16878596/microsoft-skype-end-to-end-encryption-private-conversations. Truy cập gần nhất: 16/04/2020.

[19] Facebook Says Encrypting Messenger by Default Will Take Years. https://www.wired.com/story/facebook-messenger-end-to-end-encryption-default/. Truy cập gần nhất: 16/04/2020.

[20] Exclusive: Stay off Zoom and Google Hangouts, Standard Chartered chief tells staff. https://uk.reuters.com/article/us-health-coronavirus-zoom-exclusive/exclusive-stay-off-zoom-and-google-hangouts-standard-chartered-chief-tells-staff-idUKKCN21W2PX. Truy cập gần nhất: 16/04/2020.

[21] Zoom, Google Hangouts attract phishing and malware hackers: how to protect yourself. https://www.laptopmag.com/news/zoom-google-hangouts-attract-phishing-and-malware-hackers-how-to-protect-yourself. Truy cập gần nhất: 16/04/2020.

[22] A major bug is forcing Microsoft to rebuild Skype for Windows. https://www.engadget.com/2018-02-14-a-major-bug-is-forcing-microsoft-to-rebuild-skype-for-windows.html. Truy cập gần nhất: 16/04/2020.

[23] https://www.cvedetails.com/vulnerability-list/vendor_id-26/product_id-35646/Microsoft-Skype.html

[24] An Update on the Security Issue. https://about.fb.com/news/2018/10/update-on-security-issue/. Truy cập gần nhất: 17/04/2020.

[25] Facebook Exposed 87 Million Users to Cambridge Analytica. https://www.wired.com/story/facebook-exposed-87-million-users-to-cambridge-analytica/. Truy cập gần nhất: 17/04/2020.

[26] Report: 267 million Facebook users IDs and phone numbers exposed online (UPDATE: now 309 million). https://www.comparitech.com/blog/information-security/267-million-phone-numbers-exposed-online/. Truy cập gần nhất: 17/04/2020.

[27] Another Facebook vulnerability could have exposed information about users and their friends. https://www.theverge.com/2018/11/13/18088904/imperva-facebook-data-vulnerability-user-friends-information-cambridge-analytica. Truy cập gần nhất: 17/04/2020.

[28] LINE Encryption Report. https://linecorp.com/en/security/encryption/2019h1. Truy cập gần nhất: 17/04/2020.

[29] https://jitsi.org/blog/e2ee/

[30] https://support.google.com/a/users/answer/9545619?fbclid=IwAR24epw6jMvtxtRYzxR2k0g3FWubFj2Or7SR5_Vej3Xmm_WDnPGJ5w7_h_w