Cuối tuần qua, các nhà nghiên cứu an ninh mạng đã tiết lộ những rủi ro bảo mật liên quan đến tính năng link preview (xem trước liên kết) trong các ứng dụng nhắn tin phổ biến. Tính năng này có nguy cơ làm rò rỉ địa chỉ IP, lộ đường link trong các cuộc trò chuyện được mã hóa đầu cuối, và thậm chí lén lút tải xuống hàng gigabyte dữ liệu của người dùng.
“Đường link được chia sẻ trong các cuộc trò chuyện có thể chứa những thông tin nhạy cảm được gửi riêng cho người nhận,” hai chuyên gia bảo mật Talal Haj Bakry và Tommy Mysk cho biết.
“Đó có thể là hóa đơn, hợp đồng, hồ sơ y tế hoặc bất cứ thông tin cá nhân nào khác.”
“Các ứng dụng dựa vào máy chủ để tạo link preview có thể vi phạm quyền riêng tư của người dùng nếu nó gửi đường link được chia sẻ trong các cuộc trò chuyện riêng tư về máy chủ của mình.”
Tạo link preview ở phía người gửi hoặc người nhận
Link preview là một tính năng phổ biến trên hầu hết các ứng dụng nhắn tin. Nó giúp người dùng có một cái nhìn trực quan về nội dung, kèm theo mô tả ngắn gọn về liên kết được chia sẻ.
Mặc dù các ứng dụng như Signal và Wire cho phép người dùng tùy chọn bật/tắt tính năng này, một số ứng dụng khác như Threema, TikTok hay WeChat hoàn toàn không có tính năng link preview.
Các ứng dụng có tính năng này thường tạo bản preview ở cả phía người gửi lẫn người nhận liên kết, hoặc sử dụng một máy chủ bên ngoài để tạo link preview cho cả người gửi và người nhận.
Link preview ở phía người gửi (sender-side link preview) thường được sử dụng trong các ứng dụng như Apple iMessage, Signal (nếu tính năng được bật), Viber, và WhatsApp. Nó hoạt động bằng cách tải xuống đường link, tạo hình ảnh xem trước và bản tóm tắt ngắn, sau đó gửi đến người nhận dưới dạng tập tin đính kèm. Khi ứng dụng ở đầu bên kia nhận được bản preview, nó sẽ hiển thị mô tả ngắn gọn mà không cần mở đường link, từ đó bảo vệ người dùng khỏi các liên kết độc hại.
“Cách tiếp cận này giả định rằng bất kỳ ai đang gửi đường link đều phải tin tưởng nó, do chính ứng dụng của người gửi sẽ phải mở đường link này,” các nhà nghiên cứu cho biết.