Người dùng WeChat đối mặt lỗ hổng nguy hiểm

Wechat Pay là dịch vụ thanh toán trực tuyến thuộc một hệ sinh thái tài chính liên kết chặt chẽ với ứng dụng Wechat – nền tảng nhắn tin và mạng xã hội được sử dụng phổ biến nhất tại Trung Quốc. Ví điện tử này được tích hợp trực tiếp trong ứng dụng nhắn tin và mạng xã hội Wechat. Nó cũng thuộc sở hữu của Tencent.

Ví cho phép liên kết với thẻ ngân hàng nội địa (Trung Quốc) cũng như thẻ tín dụng quốc tế, mặc dù sự hỗ trợ cho các thẻ quốc tế có thể bị giới hạn trong một số khu vực. Ngoài hệ sinh thái Wechat, nó cũng được chấp nhận rộng rãi tại các cửa hàng, nhà hàng, dịch vụ trực tuyến ở Trung Quốc và nhiều quốc gia khác.

Một nghiên cứu mới đây của Citizen Lab thuộc Đại học Toronto (Canada) đã phát hiện ra những điểm yếu bảo mật tiềm ẩn trong giao thức mã hóa tùy chỉnh của WeChat, ứng dụng nhắn tin phổ biến nhất Trung Quốc với hơn một tỉ người dùng hoạt động hằng tháng.

WeChat sử dụng giao thức mã hóa hai lớp, gồm lớp mã hoá “lớp doanh nghiệp” cho nội dung tin nhắn và lớp MMTLS, một phiên bản sửa đổi của giao thức TLS 1.3 tiêu chuẩn. Tuy nhiên, nghiên cứu cho thấy lớp mã hóa này không bảo vệ được siêu dữ liệu nhạy cảm như ID người dùng và MMTLS sử dụng các vector IV kém an toàn, đi ngược lại với các phương pháp mã hóa hiện đại.

Hàng tỉ người dùng WeChat đối mặt lỗ hổng nguy hiểm.

Mặc dù việc bổ sung MMTLS đã cải thiện đáng kể bảo mật tổng thể của WeChat so với các phiên bản trước, nhưng các nhà nghiên cứu vẫn lo ngại về việc WeChat không đáp ứng tiêu chuẩn mã hóa dự kiến cho một ứng dụng có quy mô lớn như vậy.

Các nhà nghiên cứu cũng chỉ ra việc các nhà phát triển Trung Quốc tự tạo ra hệ thống mã hóa tùy chỉnh thay vì sử dụng các tiêu chuẩn đã được thiết lập là một xu hướng đáng lo ngại. Những giải pháp này thường không hiệu quả bằng các giao thức phổ biến như TLS 1.3 hoặc QUIC.

Citizen Lab khuyến nghị Tencent, công ty mẹ của WeChat nên áp dụng TLS tiêu chuẩn hoặc kết hợp QUIC và TLS để tăng cường bảo mật cho ứng dụng, bảo vệ thông tin người dùng một cách tốt hơn. Trong khi chờ đợi WeChat cải thiện giao thức mã hóa, người dùng nên cẩn trọng khi chia sẻ thông tin nhạy cảm trên ứng dụng này. Nên hạn chế gửi thông tin cá nhân quan trọng qua WeChat để tránh rủi ro bị lộ thông tin.

Thanh Hiền (t/h)