Tóm Lại Là: Zoom không an toàn như bạn tưởng | Vietcetera
Billboard banner
06 Thg 04, 2020

Tóm Lại Là: Zoom không an toàn như bạn tưởng

10 Lỗ hổng bảo mật ở Zoom mà bạn không biết và cách khắc phục. Nếu không, thì những app thay thế sau đây có thể giúp bạn họp hành trên mạng nhé
Tóm Lại Là: Zoom không an toàn như bạn tưởng

Tóm Lại Là: Zoom không an toàn như bạn tưởng

1. Chuyện gì đang xảy ra với Zoom vậy?

Gần đây, ứng dụng video conference Zoom liên tục bị chỉ trích vì ‘ẩu’ trong khâu bảo mật dữ liệu của người dùng.

Sau khi FBI cảnh báo về hành vi Zoombombing, khoảng 15,000 cuộc hội thoại riêng tư của người dùng Zoom rò rỉ trên mạng.

Từ rò rỉ video riêng tư, thông tin mật, đến bị hacker theo dõi, 200 triệu người dùng của Zoom đứng trước nhiều nguy cơ bị tấn công vì hàng loạt lỗ hổng bảo mật của app này.

2. CEO của Zoom nói gì về việc này?

CEO Eric Yuan tự nhận lượng người dùng tăng đột phá khiến hệ thống bảo mật của Zoom không phát triển kịp. “Chúng tôi đã đi vài bước sai lầm,” ông trả lời CNN.

“Lần này tôi sai thậm tệ,” Yuan nói với Wall Street Journal. Ông chia sẻ mình thấy rõ bổn phận xây dựng lại niềm tin với người dùng.

3. Những lỗ hổng bảo mật của Zoom nằm ở đâu?

Cộng đồng người dùng, các kỹ sư và chuyên gia tìm thấy ít nhất 10 lỗ hổng bảo mật trong trải nghiệm Zoom:

1. “Zoombombing”, tức bất cứ người nào có thể đột nhập vào meeting của bạn miễn là họ có meeting ID, và “thả bom” ảnh nhạy cảm, lấy nội dung hoặc phá phách cuộc gọi. Những vị khách không mời này đã được FBI cảnh báo (Nguồn: fbi.gov).

2. Cửa sổ chat của Zoom không phân biệt được những trang web thường và Universal Naming Convention (UNC), một loại đường dẫn cho phép hacker lấy mật khẩu tài khoản Windows của người dùng. Lỗi này mới được sửa, theo Zoom. (Nguồn: tomsguide.com)

3. Qua UNC, hacker cũng có thể cài phần mềm gián điệp hoặc virus vào máy tính của người dùng. Hy vọng là lỗi này cũng đã được khắc phục cùng lỗi 2.

4. Zoom gửi profile người dùng iOS tới Facebook khi người đó đăng nhập với tài khoản Facebook. Sau khi bị VICE lên án, Zoom nói mình không hề biết chuyện đó đang xảy ra, và cập nhật app để sửa lỗi này. (vice.com)

5. Zoom mã hóa đầu cuối “rởm”. Mục đích của mã hóa đầu cuối (end-to-end) là để app không đọc được nội dung trao đổi giữa người dùng, nhưng trên thực tế là Zoom vẫn đọc được vì chỉ mã hóa… một phần. (theintercept.com)

6. Zoom dùng những biện pháp kiểu hacker để tắt các cảnh báo bảo mật của máy Mac. Lỗi này đã được sửa sau khi cư dân mạng lên tiếng.

7. Vì lỗi số 6, hacker dễ dàng lợi dụng Zoom để tiếp cận máy mà không gây các báo động bảo mật. Hacker có thể bật webcam và mic của chiếc điện thoại hoặc máy tính đó và bí mật theo dõi người dùng. (objective-see.com)

8. Zoom tự động gộp nội dung của tất cả những người dùng cùng đuôi email vào một folder, mặc định là những người đó cùng công ty trong khi đó hoàn toàn có thể là hai công ty khác nhau. Nếu một ngày bạn nhận ra meeting của công ty mình toàn “người lạ” và họ có được ảnh lẫn email của mình, thì đó là lý do.

9. Zoom chia sẻ thông tin người dùng với marketer ngoài công ty, các luật sư nhận định sau khi soi xét chính sách bảo mật của app này. Ngay sau khi bị chú ý, Zoom nhanh chóng tẩy xóa chính sách bảo mật và khẳng định “chúng tôi không bán thông tin của bạn”.

10. Ít nhất 15,000 cuộc hội thoại riêng tư của Zoom có thể được truy ra với một công cụ tìm kiếm đặc thù (washingtonpost.com). Tương tự, bạn có thể dùng một phần mềm khác để tra ra đường dẫn của hàng loạt meeting đang mở.

4. Tại sao bạn cần quan tâm đến vấn đề bảo mật?

Bảo mật là vấn đề “sống còn” trong an ninh mạng. Nó là biện pháp phòng cháy để chúng ta không phải vất vả chữa cháy sau này. Và ứng dụng công nghệ càng phổ biến, như Zoom, thì càng nên được cư dân mạng “soi” để cùng nhau bảo vệ sự riêng tư của người dùng.

5. Làm thế nào để bảo vệ cuộc gọi của mình trên Zoom?

Cây bút mảng công nghệ Drew Harwell trên tờ WashingtonPost khuyên người dùng thực hiện 7 điều sau đây khi dùng Zoom:

1. Không chia sẻ meeting number với bất cứ ai ngoài những người được mời.

2. Hạn chế ghi hình lại cuộc gọi. Nếu không có file ghi hình thì không có gì để rò rỉ cả.

3. Nếu phải ghi hình, hãy đặt tên file khác chứ không để tên mặc định mà Zoom đặt.

4. Đặt password cho meeting của bạn, chỉ chia sẻ password này với những người cần.

5. Đặt chế độ “screen sharing” về “Host Only”, thì những kẻ phá phách kiểu Zoombombing sẽ không thể troll meeting của bạn được.

6. Dùng tính năng “waiting room”, bạn host sẽ được duyệt qua những người tham dự trước khi cho họ vào meeting.

7. Dùng tính năng “virtual background” để che quang cảnh xung quanh mình lại.

6. Bao giờ thì Zoom mới an toàn?

CEO Eric Yuan cho biết công ty đã tạm ngưng những tính năng mới trong vòng 90 ngày để đội ngũ kỹ sư đắp tất cả các lỗ hổng bảo mật.

Khoảng đầu tháng 6, người dùng Zoom có thể yên tâm hơn nhiều khi sử dụng app này.

7. Không dùng Zoom thì dùng gì?

Cây bút mảng an ninh mạng Kate O’Flaherty chia sẻ 4 app thay thế Zoom nếu bạn cảm thấy không an toàn:

1. Facetime

Facetime hơn Zoom ở chỗ có mã hóa end-to-end xịn, Apple không xem được nội dung hội thoại giữa người dùng.

2. Signal

App này được mã hóa đầu cuối, an toàn như WhatsApp nhưng được thiết kế riêng cho trải nghiệm gọi video thay vì nhắn tin.

3. Skype

Tuy không có mã hóa end-to-end, Skype là app “gạo cội” đã dành nhiều năm lấp các lỗ hổng bảo mật. Chất lượng cuộc gọi và tính năng không thua gì Zoom.

4. Jitsi

Một app mới phát hành, nội dung hội thoại được mã hóa, tuy không phải mã hóa end-to-end, nhưng cũng chắc chắn hơn mã hóa của Zoom.