Chế độ xem trước đường link tuy tiện lợi, xong lại có thể gây rò rỉ các dữ liệu nhạy cảm, tiêu tốn băng thông, và làm rút ngắn thời lượng pin. Ngoài ra, một số trang web cũng có ảnh hưởng tiêu cực hơn các trang còn lại.

Xem trước đường link là một chế độ thường thấy – ta có thể gặp nó trong mọi ứng dụng nhắn tin và chat, và điều này là hoàn toàn dễ hiểu: việc giao tiếp qua mạng dễ dàng hơn rất nhiều khi có những bức ảnh và văn bản liên quan tới đường link được gửi.

Tuy nhiên, tính năng này lại có thể gây rò rỉ dữ liệu, tiêu tốn băng thông, rút ngắn thời lượng pin, và thậm chí là làm lộ các đường link trong hội thoại – mà đáng lẽ đã được mã hóa end-to-end. Theo một nghiên cứu mới được đăng tải gần đây, thì những ứng dụng nhắn tin vô cùng phổ biến đến từ Facebook, Instagram, LinkedIn, và Line, đều phạm phải vấn đề này. Tuy nhiên, trước tiên ta sẽ thảo luận về bản chất của tính năng xem trước link.

Thông thường, khi người dùng gửi link trong tin nhắn, ứng dụng nhắn tin sẽ hiển thị đoạn hội thoại cùng với một đoạn văn bản (thường là tiêu đề) và các hình ảnh đi kèm link đó.

Để thực hiện được điều này, bản thân ứng dụng – hoặc một proxy được ứng dụng chỉ định – sẽ vào truy cập vào đường link được gửi, mở tệp trong link, và xem những gì có bên trong link đó. Đây là một nguy cơ dẫn tới tấn công – nó có thể dẫn tới việc tải mã độc, tải tệp quá lớn dẫn tới sập ứng dụng, tiêu hao pin, và tốn băng thông. Ngoài ra, nếu đường link dẫn tới các tài liệu riêng tư – ví dụ như tờ khai thuế được tải lên tài khoản OneDrive hoặc DropBox – thì máy chủ ứng dụng sẽ có thể xem và tải về các dữ liệu này vô thời hạn.

Talal Haj Bakry và Tommy Mysk – cũng là tác giả của nghiên cứu nói trên, đã chỉ điểm Facebook Messenger và Instagram là hai ứng dụng xâm phạm nhiều nhất. Biểu đồ bên dưới đã thể hiện rằng, cả hai đều tải và sao chép hoàn toàn các tệp được link, bất kể kích thước của các tệp này. Điều này sẽ là một mối nguy hại lớn nếu các tệp này là nhạy cảm với người dùng.

Ngoài ra, các ứng dụng nói trên cũng tiêu tốn rất nhiều băng thông và thời lượng pin của người dùng. Cụ thể, cả hai đều có thể chạy mọi JavaScript có trên link – một thứ mà người dùng hoàn toàn không thể xem xét kỹ lưỡng về mức độ bảo mật, trong khi các ứng dụng nhắn tin lại cũng không thể an toàn bằng các trình duyệt hiện tại.

Haj Bakry và Mysk đã chia sẻ phát hiện của họ tới Facebook, song công ty này chỉ phản hồi rằng, cả hai ứng dụng đều đang hoạt động đúng như đã định. LinkedIn thì tốt hơn ở chỗ, nó chỉ sao chép 50 megabyte đầu tiên của mỗi tệp.

Trong khi đó, nếu ứng dụng Line mở một tin nhắn mã hóa và tìm thấy link, thì nó sẽ gửi link này lên máy chủ Line để tổng hợp ra nội dung xem trước. “Chúng tôi tin rằng, điều này đã đi ngược lại với mục tiêu của việc mã hóa end-to-end, bởi lẽ thông qua quy trình này, Line đã biết được mọi đường link được gửi qua ứng dụng, ai đang chia sẻ chúng, và chúng đang được chia sẻ với những ai,” Haj Bakry và Mysk viết.

Discord, Google Hangouts, Slack, Twitter, và Zoom tuy cũng sao chép các tệp được gửi, song lại chỉ giới hạn kích thước sao chép trong khoảng từ 15 tới 50 MB. Biểu đồ phía dưới đã so sánh hoạt động của mọi ứng dụng được nhắc tới trong nghiên cứu.

Ảnh: Talal Haj Bakry và Tommy Mysk

Nhìn chung, kết quả mà nghiên cứu thu được là tích cực, bởi lẽ đa số các ứng dụng nhắn tin đều đang được vận hành đúng cách. Cụ thể, Signal, Threema, TikTok, và WeChat đều cho phép người dùng chọn không xem trước link – một chế độ hoàn hảo cho những ai cần tới sự riêng tư. Còn đối với các người dùng muốn xem trước, thì các ứng dụng này vẫn sử dụng những biện pháp render tương đối an toàn.

Tuy nhiên, nghiên cứu cũng đã chỉ ra rằng, không phải bất cứ tin nhắn riêng tự nào cũng thật sự riêng tư.

Mỗi khi bạn phát triển một tính năng mới, thì bạn cần phải xem xét cả những ảnh hưởng về mặt riêng tư và bảo mật của nó, đặc biệt là nếu tính năng đó sẽ được sử dụng bởi rất nhiều người trên khắp thế giới,” các nhà nghiên cứu viết. “Chế độ xem trước link tuy rất tiện lợi và có ích với người dùng, song lại vẫn tồn tại những vấn đề nhất định nếu ta không thật sự cân nhắc các nguy cơ về tính riêng tư và bảo mật.”

Theo Wired

Tin liên quan: