Những lỗ hổng bảo mật khiến các quốc gia khuyến cáo, thậm chí ra lệnh cấm dùng Zoom

Trong thời gian thực hiện giãn cách xã hội nhằm phòng chống dịch Covid – 19 lan rộng, nhiều trường học và công ty ở Việt Nam đã sử ứng dụng Zoom nhằm duy trì hoạt động giảng dạy và làm việc. Tuy nhiên, mấy ngày gần đây nhiều quốc gia đã đưa ra các cáo buộc liên quan đến vấn đề an ninh mạng khi sử dụng Zoom. Sau các sự cố “zoombombing” trên thế giới và các cáo buộc liên quan đến bảo mật dữ liệu người dùng đối với Zoom các quốc gia như Mỹ, Singapore, Đài Loan khuyến cáo khi sử dụng Zoom, thậm chí cấm sử dụng Zoom. Theo các khuyến cáo này Zoom có khá nhiều lỗ hổng bảo mật.

Lỗ hổng người dùng dễ nhận thấy nhất là Zoombombing. Lỗ hổng này từng được FBI Boston cảnh báo ngày 30/3 vừa qua, sau khi hai trường học ở bang Massachusetts báo cáo về việc người lạ xâm nhập vào các lớp học trực tuyến của họ. Trường trung học Berkeley ở California, Mỹ cũng đã thông báo với phụ huynh về trường hợp một “người đàn ông khỏa thân sử dụng những lời lẽ phân biệt chủng tộc” xâm nhập vào lớp học trực tuyến trên Zoom. Singapore cũng ghi nhận một số trường hợp khách không mời có hành vi khiếm nhã tương tự. Các cuộc tấn công kiểu này có thể khắc phục bằng các tùy chỉnh bảo mật trên Zoom như đặt lớp học, cuộc họp ở chế độ riêng tư, đặt mật khẩu cho lớp học, dùng tính năng Phòng chờ (Waiting Room) để kiểm soát người tham gia, với chế độ chia sẻ màn hình thì đặt Only Host…

Nhiều quốc gia đã khuyến cáo, thậm chí ra lệnh cấm dùng Zoom vì lỗ hổng bảo mật.

Tuy nhiên, Zoombombing sẽ không thể tránh khỏi nếu người sử dụng không có ý thức bảo mật, công khai đường dẫn hoặc chia sẻ tên tài khoản và mật khẩu lên các diễn đàn công cộng hoặc để rò rỉ thông tin ra bên ngoài nhóm. Ở Việt Nam, hiện tượng người dùng chia sẻ công khai ID và Password phòng học lên mạng xã hội Facebook đã và đang xảy ra. Thậm chí, một số học sinh thiếu ý thức, lười học còn lập nhóm để chia sẻ thông tin phòng học trên ứng dụng Zoom của mình lên Facebook và nhờ người lạ vào phá phòng học, khiến giờ học phải gián đoạn hoặc hủy bỏ.

Ngoài Zoombombing, nhiều lỗ hổng khác cũng đã được chỉ ra (một số lỗi đã được sửa chữa vào trong bản vá đầu tháng 4):

UNC path injection: Zoom không phân biệt được các URL và UNC (đường dẫn cho phép tin tặc lợi dụng để ăn cắp thông tin đăng nhập Windows và chiếm quyền điều khiển máy tính từ xa) nên trong cửa sổ chat của Zoom, cả URL lẫn UNC đều được chuyển thành siêu liên kết (hyperlink) có thể truy cập được. Lỗi này đã được sửa vào đầu tháng 4.

Ứng dụng Zoom trên iOS tự động gửi dữ liệu tới Facebook khi người dùng đăng nhập Zoom bằng tài khoản Facebook. Theo Zoom, các thông tin bị gửi đi không liên quan đến các cuộc họp trên Zoom. Trong bản cập nhật ngày 27/3, Zoom cũng đã gỡ bỏ SDK Facebook để đảm bảo quyền riêng tư cá nhân của khách hàng.

Mã hóa đầu cuối (end–to–end) yếu hay đúng hơn là họ thiết kế và triển khai mã hóa riêng không theo cách hiểu thông thường. Theo các nhà nghiên cứu tại Citizen Lab của Đại học Toronto, Zoom đã không sử dụng AES–256 để mã hóa dữ liệu cho các cuộc họp trực tuyến mà chỉ dùng một khóa AES–128 ở chế độ ECB để mã hóa và giải mã âm thanh và video. Ngoài ra, trong thử nghiệm cuộc họp Zoom giữa hai người dùng ở Mỹ và Canada, họ cũng phát hiện ra khóa AES – 128 để mã hóa và giải mã cuộc họp đôi khi được gửi đến người tham gia qua TLS từ máy chủ Zoom đặt ở Bắc Kinh. Nhóm nghiên cứu lo ngại nếu chính phủ Trung Quốc yêu cầu, Zoom sẽ phải cung cấp các khóa này cho chính quyền Bắc Kinh.

Một số dữ liệu cuộc họp trực tuyến bên ngoài Trung Quốc bị định tuyến nhầm thông qua hai máy chủ đặt tại Trung Quốc. CEO của Zoom Eric Yuan giải thích nguyên nhân của sự việc là do trong quá trình tăng cường máy chủ, bắt đầu từ Trung Quốc, Zoom đã “thất bại trong việc phân chia hàng rào địa lý thông thường”. Việc dữ liệu mã hóa được chuyển về máy chủ đặt tại Trung Quốc đặt ra vấn đề về bảo mật thông tin người dùng nếu chính quyền Trung Quốc yêu cầu Zoom giải mật. Trong bản cập nhật dự kiến được Zoom đưa ra vào 18/4 tới, người dùng có trả phí sẽ được phép lựa chọn trung tâm dữ liệu khu vực cho các cuộc họp trực tuyến. Đối với người dùng miễn phí, Zoom cam kết sẽ không để xảy ra trường hợp dữ liệu được gửi về Trung Quốc như trước đây.

Nhiều vấn đề liên quan tới bảo mật và quyền riêng tư của người dùng cũng đã được Zoom sửa chữa qua các bản cập nhật. Zoom hiện đã gỡ bỏ “tính năng theo dõi theo dõi người tham dự”. Tính năng này cho phép người tổ chức cuộc họp có thể theo dõi người tham gia có theo dõi cuộc họp hay không và theo dõi văn bản riêng được gửi nếu chúng được đánh dấu nội bộ. Zoom cũng đã vá các lỗ hổng trên phiên bản Windows và Mac OS. Lỗi của phiên bản trên Mac OS cho phép tin tặc có thể root, truy cập camera, microphone trên máy người dùng và lén ghi âm, ghi hình các cuộc họp trên Zoom… Ngoài ra, CEO Eric Yuan của Zoom đã phải cam kết dừng phát triển tính năng mới trên Zoom trong 90 ngày nhằm tập trung hỗ trợ người dùng, cập nhật bảo mật và quyền riêng tư.

Tuy nhiên, dù nỗ lực sửa chữa đến đâu, Zoom cũng đã mang lại những trải nghiệm không vui cho người sử dụng. Ngoài các hậu quả dễ thấy từ Zoombombing, theo Check Point Research, nhiều cuộc tấn công nhằm nghe lén các cuộc họp trên Zoom đã được thực hiện. Hàng nghìn đoạn ghi âm, ghi hình các cuộc họp trực tuyến trên ứng dụng Zoom với đầy đủ hình ảnh và thông tin của người sử dụng đã bị đưa lên Youtube, Vimeo…. Công ty bảo mật không gian mạng Sixgill cũng thông báo có 352 tài khoản Zoom của người dùng cá nhân, tổ chức giáo dục, doanh nghiệp được chia sẻ lên một Dark Web phổ biến…

Zoom cũng đánh mất niềm tin của các nhà đầu tư. Cổ phiếu của Zoom trên sàn NASDAQ sau khi lên đỉnh 159,56 USD/cổ phiếu vào ngày 23/3 đã rơi xuống chỉ còn 113,75 USD/cổ phiếu vào ngày 7/4 sau một loạt các phát hiện cho thấy Zoom không đảm bảo về bảo mật và quyền riêng tư cho người dùng. Zoom cũng bị Space X, Cơ quan hàng không vũ trụ Mỹ NASA tẩy chay và bị chính cổ đông của mình kiện. Những nỗ lực tăng cường tính năng bảo mật và các cam kết gần đây của Zoom đã giúp Zoom phần nào lấy lại được niềm tin của các nhà đầu tư. Cổ phiếu của Zoom tăng trở lại, lên mức 135, 92 USD/cổ phiếu ngày 13/4. Tuy nhiên, với một số công ty công nghệ, quốc gia, vùng lãnh thổ và cơ quan quản lý giáo dục, trường học, những nỗ lực đó của Zoom vẫn chưa đủ để họ cho phép nhân viên, giáo viên của mình sử dụng Zoom trở lại.