Zoom - Nỗi sợ với học sinh về chuyện học hay nỗi lo của mọi người dùng về bảo mật?

Phú© Anh Phú© Anh
Bài viết: 833 Lượt thích: 308
Từ lúc dịch Covid19 bùng phát khiến hầu hết tất cả các học sinh, sinh viên, nhân viên văn phòng, quan chức,... đều phải chuyển qua học và làm việc trực tiếp thì Zoom bỗng chốc nổi lên dư diều gặp gió. Được thành lập từ năm 2011 và dịch vụ chính thức được bắt đầu vào đầu năm 2013, tính đến đầu năm 2019 thì Zoom đã được sử dụng bởi hơn 170000 tổ chức với số lượng người dùng lên đến hàng triệu. Trong bối cảnh dịch bệnh như hiện nay thì số lượng người dùng còn cao hơn nữa và điều này chắc chắn sẽ gây ra sức ép về mặt bảo mật cho Zoom bởi càng nhiều người dùng, càng nhiều người quan tâm thì Zoom càng phải cẩn thận vì chỉ cần lơ là một chút thôi là dẫn đến rất hiều hệ lụy, điển hình là những hệ lụy dưới đây.
Zoom bị kiện vì gửi dữ liệu cho Facebook

Vụ kiện xảy ra ngay sau khi Motherboard phân tích ứng dụng Zoom trên IOS gửi dữ liệu cho Facebook.
Thứ 2 vừa rồi (ngày 30-3), một người dùng phần mềm Zoom đã đệ đơn tố cáo công ty rằng đã gửi dữ liệu cho Facebook, bản tố cáo chỉ rõ Zoom đã vi phạm luật mới bảo vệ dữ liệu người dùng đó là đã thực hiện sai trong thoả thuận truyền dữ liệu của người dùng. Trừ khi người dùng cập nhật Zoom lên phiên bản mới nhất trên IOS,thì đối với những người dùng đang ở phiên bản cũ (trên IOS) vẫn bị gửi dữ liệu cho Facebook, hoặc có lẽ là bên thứ 3 nào đó, mà không hề hay biết (kể cả người trả tiền để dùng tính năng premium). Zoom đáng lẽ phải buộc người dùng update lên phiên bản mới nhất vì không còn lựa chọn nào khác. (Phiên bản mới nhất của Zoom đã xoá bỏ đoạn code gửi dữ liệu cho Facebook).


Bản tố cũng chỉ rõ Zoom không chắc rằng Facebook đã xoá hết đống dữ liệu đó chưa, ngoài ra cũng đề cập tới việc rằng Zoom đã tham gia hoạt động kinh doanh phi pháp, vi phạm vào hiến pháp California.
Zoom làm rò rỉ Email và hình ảnh của người dùng cho những người dùng khác

Zoom đã làm rò rỉ ít nhất hàng nghìn thông tin người dùng, bao gồm địa chỉ email và hình ảnh của họ, cho phép những người lạ có thể call cho bạn và ngược lại. Zoom tự thêm tất cả những người có chung tên miên email lại, như thể họ làm trong cùng 1 công ty, tổ chức(ngoại trừ những tên miền email nổi tiếng như Gmail, Hotmail, Yahoomail,...), điều đó cho phép người này có thể nhìn thấy thông tin người kia mặc dù không biết nhau.
zoom_blurred-jpg.9920
"Tôi đã rất sốc, may thay tôi sử dụng mail ẩn danh, tự dưng tôi nhìn thấy 955 người khác trong danh sách liên lạc của tôi bao gồm địa chỉ email và hình ảnh của họ." - Barend Gehrels, người dùng gặp phải vấn đề trên và đã viết mail gửi về Motherboard.
Hệ thống của Zoom không hề loại ra những email của người dùng cá nhân. Gehrels cũng có nói anh gặp vấn đề với các tên miên như xs4all.nl, dds.nl, and quicknet.nl (các tên miền thuộc các nhà cung cấp ở Hà Lan). Ngoài ra, trên Twitter, Motherboard cũng tìm thấy nhiều báo cáo tương tự như vậy.
Đối với người dùng ở nước ta thì an toàn hơn một chút vì đa số đều sử dụng Gmail nên việc lộ những thông tin này khó xảy ra hơn.
(Thứ tư ngày 1 tháng 4)
Phát hiện 2 lỗ hổng bảo mật khiến hacker có thể kiểm soát camera và micro trên những thiết bị MacOS

Một nhà nghiên cứu đã phát hiện thêm hai lỗ hổng trong ứng dụng Zoom, tạo điều kiện cho hacker có thể chiếm quyền kiểm soát webcam và microphone của người dùng. Patrick Wilde, một cựu hacker từng làm việc cho Cơ quan An ninh Quốc gia Hoa Kỳ (NSA) và hiện là giám đốc nghiên cứu bảo mật của Jamf là người đưa ra thông tin đáng chú ý này. Lỗ hổng lần này được cho là có thể giúp hackers nắm quyền truy cập máy tính của người dùng hệ điều hành MacOS.

Lỗ hổng đầu tiên mà Wardle tìm ra được dựa trên những phát hiện trước đó. Thông qua lỗ hổng này, hackers có thể thêm vào ứng dụng Zoom trên thiết bị của người dùng những đoạn mã độc (malicious code) nhằm chiếm quyền kiểm soát thiết bị. Điều này giúp hackers dễ dàng truy cập vào hệ điều hành MacOS, cài đặt malware và spyware mà người dùng không hề hay biết.
zoom-hacked-jpg.9922
Báo cáo này của Wardle được đưa ra vào hôm thứ Tư. Đến nay, những lỗ hổng này chưa hề được sửa chữa và vá lại (patch). Wardle chia sẻ trong một bài viết của mình, "Với việc dịch bệnh đang lan rộng và những lệnh phong tỏa từ chính phủ các nước, làm việc tại nhà đã trở thành chuyện hết sức bình thường. Nhờ việc này, Zoom, 'ứng dụng hằng đầu trong việc giao tiếp trực tuyến', đang trở thành một các tên quen thuộc và giá cổ phiếu đã tăng vọt. Tuy vậy, nếu bạn quan tâm đến bảo mật thông tin và sự riêng tư của mình, bạn có lẽ nên suy nghĩ lại về việc sử dụng ứng dụng này".
(Thứ 6 ngày 3 tháng 4)
Zoom đã không bảo mật đầu cuối (E2E, End-to-end encryption) như tài liệu bảo mật của họ dành cho người dùng

Zoom có nói trên trang web và các tài liệu bảo mật của họ rằng họ hỗ trợ tính năng mã hoá đầu cuối cho các cuộc videocall của người dùng. Tuy nhiên, một nghiên cứu mới của tờ The Intercept đã phát hiện ra rằng điều này hoàn toàn không đúng.

The Intercept đã hỏi một người phát ngôn của Zoom rằng liệu các cuộc videocall được thực hiện qua nền tảng này có được mã hoá đầu cuối hay không, và người phát ngôn Zoom đã trả lời rằng: "Hiện tại, chúng tôi không thể thực hiện tính năng mã hoá đầu cuối cho các cuộc videocall trên Zoom". Zoom có sử dụng tính năng mã hoá TLS, chuẩn mã hoá được các trình duyệt hiện nay sử dụng để bảo mật các trang web sử dụng giao thức HTTPS. Trên thực tế, điều đó có nghĩa rằng dữ liệu được mã hoá khi di chuyển giữa máy tính của bạn và các máy chủ của Zoom, giống như Gmail hay Facebook. Nhưng thuật ngữ mã hoá đầu cuối thường để chỉ việc nội dung giữa các người dùng được bảo vệ và toàn bộ các công ty không có quyền truy cập vào dược, giống như Signal và WhatsApp. Zoom không hỗ trợ mức độ bảo mật đó, vì vậy sẽ dẫn đến hiểu nhầm cho người dùng, về cụm từ " đầu cuối".
zoom-jpg.9921
Tuy nhiên, Zoom phủ nhận việc họ khiến người dùng dùng hiểu nhầm. Công ty đã nói với tờ The Intercept rằng, "Khi chúng tôi dùng cụm từ "đầu cuối" tức là nói đến việc kết nối được mã hoá từ đầu này đến đầu kia giữa thiết bị của người dùng và máy chủ của Zoom", và "nội dung không còn được mã hoá khi chúng được chuyển tới hệ thống đám mây của Zoom." Các tin nhắn trong các cuộc videocall được gửi có thể hỗ trợ mã hoá đầu cuối, Zoom cho biết họ không có các keys để giải mã các tin nhắn đó.

Zoom cũng có nói với tờ The Intercept rằng họ chỉ thu thập những dữ liệu người dùng mà họ cần để cải thiện dịch vụ của họ, bao gồm địa chỉ IP, thông tin về hệ điều hành và thiết bị của người dùng, và không cho phép nhân viên truy cập vào nội dung của các cuộc videocall. Công ty cũng nói rằng họ không bán dữ liệu người dùng dưới bất kỳ hình thức nào. Tuy nhiên, có khả năng rằng công ty buộc phải nộp các bản ghi lại của cuộc videocall vì hành động pháp lý.
(Thứ 7 ngày 4 tháng 4)





Tham khảo và tổng hợp: vice.com, theverge, Nhất Mục Miên
 
Last edited:

Facebook Comment