Ngày 13 tháng 4 năm 2023Ravie LakshmananBảo mật / Quyền riêng tư trên thiết bị di động
Ứng dụng nhắn tin tức thì phổ biến WhatsApp hôm thứ Năm đã công bố một tính năng xác minh tài khoản mới để đảm bảo rằng phần mềm độc hại chạy trên thiết bị di động của người dùng không ảnh hưởng đến tài khoản của họ.
“Phần mềm độc hại trên thiết bị di động là một trong những mối đe dọa lớn nhất đối với quyền riêng tư và bảo mật của mọi người hiện nay vì nó có thể lợi dụng điện thoại của bạn mà không có sự cho phép của bạn và sử dụng WhatsApp của bạn để gửi các tin nhắn không mong muốn”, công ty thuộc sở hữu của Meta cho biết trong một thông báo.
Được gọi là Xác minh thiết bị, biện pháp bảo mật được thiết kế để giúp ngăn chặn các cuộc tấn công chiếm đoạt tài khoản (ATO) bằng cách chặn kết nối của tác nhân đe dọa và cho phép mục tiêu sử dụng ứng dụng mà không bị gián đoạn.
Nói cách khác, mục tiêu là ngăn chặn việc kẻ tấn công sử dụng phần mềm độc hại để đánh cắp khóa xác thực và chiếm quyền điều khiển tài khoản nạn nhân, sau đó mạo danh họ để phát tán thư rác và liên kết lừa đảo.
Đổi lại, điều này đạt được bằng cách giới thiệu một mã thông báo bảo mật được lưu trữ cục bộ trên thiết bị, một nonce mã hóa để xác định xem ứng dụng khách WhatsApp có đang liên hệ với máy chủ để truy xuất tin nhắn đến hay không và một thử thách xác thực hoạt động như một “tiếng ping vô hình”. ” từ máy chủ đến thiết bị của người dùng.
Máy khách được yêu cầu gửi mã thông báo bảo mật mỗi khi nó kết nối với máy chủ. Về phần mình, mã thông báo bảo mật được cập nhật mỗi khi nó tải một tin nhắn ngoại tuyến từ máy chủ.
Thử thách xác thực được coi là lỗi khi ứng dụng khách phản hồi thử thách từ một thiết bị khác, cho thấy kết nối bất thường bắt nguồn từ kẻ tấn công. Điều này khiến kết nối bị chặn.
Nếu không có phản hồi từ máy khách, quy trình sẽ được thử lại “vài lần nữa”, sau đó kết nối sẽ bị chặn nếu máy khách vẫn không phản hồi.
WhatsApp cho biết Xác minh thiết bị đã được triển khai cho tất cả người dùng Android và nó đang trong quá trình triển khai cho người dùng iOS.
Tính năng này là một phần của tập hợp các cải tiến mới rộng hơn được thiết kế để xác thực và xác minh danh tính của người dùng, bao gồm hiển thị cảnh báo khi có nỗ lực di chuyển tài khoản WhatsApp từ thiết bị này sang thiết bị khác.
Cũng được WhatsApp ra mắt là tính năng “Tính minh bạch của khóa” để tự động xác nhận xem các cuộc trò chuyện có được mã hóa nối đầu hay không mà không yêu cầu người dùng thực hiện thêm bất kỳ hành động nào.
Để làm như vậy, nó đang triển khai Danh mục khóa có thể kiểm tra (AKD) mới dựa trên các giao thức hiện có như CONIKS và SEEMless để giúp người dùng xác minh tính bảo mật của cuộc trò chuyện của họ.
Công ty cho biết: “AKD sẽ cho phép các ứng dụng khách WhatsApp tự động xác thực rằng khóa mã hóa của người dùng là chính hãng và cho phép mọi người xác minh bằng chứng kiểm toán về tính chính xác của thư mục”.
Quá trình xác minh hiện yêu cầu người dùng trong cuộc trò chuyện so sánh mã bảo mật theo cách thủ công (tồn tại dưới dạng mã QR và số có 60 chữ số) bằng cách gửi mã đó cho người tham gia ở đầu bên kia qua SMS hoặc email hoặc cách khác bằng cách quét mã QR nếu các bên ở bên cạnh nhau.
Mã bảo mật không là gì ngoài một hàm băm duy nhất của cả cặp khóa công khai/riêng tư được tạo để hỗ trợ nhắn tin được mã hóa đầu cuối. Nó có thể thay đổi khi người dùng chuyển đổi thiết bị hoặc cài đặt lại WhatsApp.
Tính minh bạch của khóa hợp lý hóa quy trình xác minh bằng cách sử dụng quy trình tự động duy trì bản ghi các thay đổi khóa công khai trong một thư mục, do đó cho phép khách hàng kiểm tra lại quy trình đó.
WhatsApp dự định làm cho tính năng này hoạt động trong những tháng tới, mặc dù nó đã lưu trữ và vận hành Danh mục khóa có thể kiểm tra của tất cả người dùng. “Đây là một cơ chế quan trọng giúp trao quyền cho người dùng có ý thức bảo mật xác minh cuộc trò chuyện cá nhân được mã hóa đầu cuối một cách nhanh chóng”, công ty cho biết thêm.
