Sức nóng của Zoom
Trong các phần mềm dùng cho việc cộng tác, hội họp, giảng dạy trực tuyến hiện nay, Zoom và Microsoft Teams là hai ứng dụng được sử dụng rộng rãi tại Việt Nam. Trong đó, Zoom đang trở thành chủ đề “nóng” trên các phương tiện truyền thông, cộng đồng CNTT cũng như người dùng về độ lan tỏa và cả vấn đề bảo mật.
Phó Giám đốc Trung tâm An toàn Thông tin HPT (HSE) Lê Quốc Bảo cho biết: Trên kho ứng dụng Google Play, hiện Zoom đã đạt trên 28 triệu lượt tải về. Còn theo số liệu thống kê chính thức, Zoom hiện chiếm 20% thị phần toàn cầu về ứng dụng họp trực tuyến với gần 13 triệu người dùng hàng tháng, trở thành một trong những nền tảng họp/học trực tuyến phổ biến nhất hiện nay.
Tại Việt Nam, Zoom Cloud Meetings là ứng dụng được tải về nhiều nhất trên cả iOS và Android, được nhiều công ty, trường học sử dụng để phục vụ việc họp và học từ xa nhằm đối phó với đại dịch Covid-19. Số thành viên tham gia cuộc họp video hằng ngày trên các dịch vụ miễn phí và trả phí của Zoom đã tăng từ khoảng 10 triệu người vào cuối năm 2019 lên 200 triệu người ở thời điểm này, với hầu hết đều là miễn phí.
Những lỗ hổng bảo mật
Cũng chính vì độ phổ biến của ứng dụng Zoom nên càng khiến tin tặc tranh thủ khai thác lỗ hổng bảo mật của ứng dụng này thông qua nhiều hình thức. Một số vấn đề bảo mật liên quan đến ứng dụng này như: Lộ thông tin người dùng - Information Leak (iOS). Đối với cơ chế “Login with Facebook”, từ bộ SDK được tích hợp trong ứng dụng chạy trên thiết bị iOS nhằm hỗ trợ đăng nhập nhanh cho người dùng đã để lộ nhiều thông tin cơ bản trên thiết bị, phiên bản phần mềm đang sử dụng, địa chỉ IP. Hiện Zoom đã gỡ bỏ chức năng này sau khi tin đăng lên mạng 2 ngày.
Ứng dụng Vượt cơ chế xác thực email - Forge Request. Theo đó, lợi dụng cơ chế đăng nhập liên kết tài khoản FB mà các ứng dụng hay dùng để hỗ trợ nhanh cơ chế đăng ký tài khoản, khi tài khoản FB không phải được đăng ký từ email thì Zoom cung cấp tính năng xác thực email này.
Đây là cơ chế bình thường của chức năng trong ứng dụng, tuy nhiên giữa bước gửi email và xác nhận email tồn tại lỗ hổng khiến cho kẻ tấn công có thể tự xác thực bất kỳ email (giả mạo yêu cầu) tới Zoom. Khi đó hacker sẽ đăng ký các tài khoản dựa theo các tên miền của doanh nghiệp (theo tên miền) đã đăng ký Zoom, trở thành thành viên của doanh nghiệp đó.
Theo cơ chế này hacker sẽ thấy toàn bộ danh sách người dùng đang sử dụng, và lợi dụng thông tin để tấn công phishing người dùng. Lỗ hổng này đã được khắc phục ngay sau đó.
Ứng dụng E2E Encryption. Theo đó, các cuộc họp video call & conference của Zoom có thể bị nghe lén do không sử dụng mã hóa giữa các thiết bị đầu cuối end - to - end (E2E). Phát hiện này được Zoom công bố ngày 31/3/2020. Khi nghe lén các cuộc họp trên Zoom, hacker có thể ghi lại nội dung cuộc họp và sử dụng vào các mục đích trục lợi. Đặc biệt là tính năng này được Zoom cam kết trên trang chủ khi cung cấp dịch vụ.
Zoom tồn tại lỗ hổng trong quá trình xử lý các UNC Path được gửi trong các cuộc trò chuyện (\hacker.comabc) dẫn đến việc lộ mật khẩu đã băm (NTLM hash) khi Windows thực hiện truy cập dưới hình thức Network Share. Hacker có thể gửi một đường link, từ đó Zoom hiểu là sử dụng đường dẫn UNC (Universal Naming Convention or Uniform Naming Convention) và khi người dùng click vào để Zoom gửi chuỗi băm mật khẩu NTML Hash tới đường dẫn UNC đã vô tình vào bẫy của hacker.
Các thông tin được máy nạn nhân gửi thông qua giao thức SMB đi ra tới máy hacker (giao thức này hoạt động trong mạng LAN và gần như bị chặn hết ở đầu ISP), kịch bản tấn công khi hacker ở cùng mạng với nạn nhân. Để tránh lộ thông tin này người dùng không nên click vào những đường link lạ trên các nhóm chat trên Zoom. Nếu cần mở link thì nên mở link trên tab ẩn danh của trình duyệt.
Để an toàn khi dùng Zoom
Chuyên gia Lê Quốc Bảo khuyến nghị, người dùng nên luôn cập nhật phiên bản mới nhất của ứng dụng để được cập nhật các bản vá lỗi chính thức từ Zoom; Thiết lập mật khẩu cho cuộc gọi (6 số ngẫu nhiên) để có thể ngăn chặn kẻ tấn công truy cập vào cuộc gọi mà không cần chứng thực; Kích hoạt tính năng phòng chờ để ngăn người dùng tham gia cuộc họp cho đến khi có sự cho phép của chủ phòng (host); Không chia sẻ ID cuộc họp ngoài những người được quyền tham gia cuộc họp; Kích hoạt tính năng khóa cuộc họp khi đã đủ người tham gia. Đặc biệt trong quá trình sử dụng, người dùng cần luôn cảnh giác với các link được gửi đính kèm trong ứng dụng Zoom...