WhatsApp là ứng dụng chat được sử dụng nhiều nhất trên thế giới, vượt qua các đối thủ như Messenger, Signal và Telegram. Với lượng dữ liệu nhạy cảm mà chúng ta có xu hướng chia sẻ trong các cuộc chat online, ứng dụng có an toàn để sử dụng không? Hơn nữa, bạn có nên lo lắng về các vụ hack hoặc rò rỉ dữ liệu tiềm ẩn, ngay cả với mã hóa mà WhatsApp tuyên bố cung cấp?
Trong bài viết này, chúng ta hãy trả lời những câu hỏi đó bằng cách xem xét kỹ hơn các biện pháp bảo mật của WhatsApp, bao gồm mã hóa end-to-end. Sau đó, chúng ta cũng sẽ thảo luận về một số tính năng bổ sung mà bạn có thể tận dụng để giữ an toàn cho các cuộc chat của mình khỏi những con mắt tò mò.
Xem nhanh
Bảo mật WhatsApp: Mã hóa end-to-end là gì?
Nhắn tin tức thời đã xuất hiện từ buổi bình minh của internet, nhưng những triển khai ban đầu vẫn chưa được bảo mật. Đầu tiên, họ trao đổi tin nhắn giữa những người dùng bằng văn bản thuần túy. Điều này có nghĩa là bất kỳ ai có quyền truy cập vào máy chủ của công ty đều có thể đọc tin nhắn của bạn, bao gồm bất kỳ bên trung gian hoặc tác nhân độc hại nào. Và mặc dù nhiều dịch vụ đã triển khai mã hóa trong quá trình chuyển tiếp vào cuối những năm 2000, các công ty thường nắm giữ chìa khóa để giải mã thông tin liên lạc của người dùng.
Tuy nhiên, gần đây hơn, nhiều nền tảng đã áp dụng mã hóa end-to-end (E2EE) để cải thiện tính bảo mật của tin nhắn và quyền riêng tư của người dùng. Trong một kênh liên lạc được mã hóa end-to-end, chỉ người gửi và người nhận mới có các khóa cần thiết để giải mã thông điệp của nhau. Không ai khác – bao gồm nền tảng, ISP của bạn, hoặc thậm chí là một tin tặc có quyền truy cập vào dữ liệu được mã hóa – có thể đọc tin nhắn của bạn.
WhatsApp sử dụng mã hóa đầu cuối cho tất cả các tin nhắn và cuộc gọi theo mặc định.
Kể từ năm 2014, hệ thống mã hóa đầu cuối của WhatsApp đã dựa trên giao thức Tín hiệu nguồn mở của Open Whisper Systems . Bạn có thể biết công ty với tư cách là nhà phát triển ứng dụng chat Signal , một đối thủ cạnh tranh của WhatsApp luôn tự hào về việc đặt bảo mật và quyền riêng tư lên hàng đầu.
Theo tài liệu của WhatsApp , hầu như tất cả giao tiếp của bạn trên nền tảng đều được bảo mật bằng mã hóa đầu cuối. Điều này bao gồm tin nhắn, phương tiện, ghi chú thoại, cuộc gọi và thậm chí cả cập nhật trạng thái.
Mã hóa của WhatsApp hoạt động như thế nào?
Signal protocol được WhatsApp sử dụng kết hợp nhiều kỹ thuật mật mã, bắt đầu với mã hóa khóa công khai. Nói một cách đơn giản, nó liên quan đến việc mỗi người dùng sở hữu một cặp khóa được tạo ngẫu nhiên – một khóa ở chế độ riêng tư và một khóa khác được phân phối công khai.
Ý tưởng ở đây là người gửi sử dụng khóa công khai của người nhận để mã hóa tin nhắn. Ở đầu bên kia, người nhận sử dụng khóa riêng của họ để giải mã nó. Vì thiết bị của bạn tạo khóa riêng tư nên WhatsApp không bao giờ có quyền truy cập vào nó. Kỹ thuật mật mã đơn giản này đã được sử dụng trong nhiều thập kỷ nay, với các phiên bản sửa đổi bảo mật mọi thứ từ email đến ví tiền điện tử .
Signal protocol được WhatsApp sử dụng được mọi người coi là tiêu chuẩn vàng cho nhắn tin được mã hóa.
Tuy nhiên, mã hóa khóa công khai tiêu chuẩn không đủ an toàn. Nó bị một điểm duy nhất của sự thất bại. Nếu khóa riêng tư của bạn bị xâm phạm, kẻ tấn công có thể giải mã hoàn toàn các cuộc chat trong quá khứ, hiện tại và tương lai của bạn. Để khắc phục điều này, các nhà phát triển đằng sau giao thức của Signal đã nghĩ ra một kỹ thuật mới được gọi là Double ratchet encryption.
WhatsApp có an toàn không? Các chuyên gia nghĩ gì?
WhatsApp cho phép bạn xác minh rằng các cuộc chat và cuộc gọi cá nhân của bạn được mã hóa đầu cuối. Chỉ cần mở một cuộc chat trong ứng dụng, nhấn vào tên của liên hệ và cuối cùng là nhãn “Mã hóa”. Bạn sẽ thấy mình được cung cấp mã QR và một số gồm 60 chữ số. Bây giờ, hãy làm theo các bước tương tự trên điện thoại của người nhận và so sánh các giá trị.
Miễn là số này khớp trên cả hai thiết bị, cuộc chat của bạn sẽ được mã hóa end-to-end đúng cách. WhatsApp gọi đây là “mã bảo mật”, nhưng nó chỉ là một cách dễ dàng hơn để đại diện cho khóa công khai mà chúng ta đã nói trước đó. Hoàn thành bước này cũng giúp đảm bảo rằng thông tin liên lạc của bạn đến được đúng người và không phải là kẻ mạo danh ác ý giả danh liên hệ của bạn. Nó cũng giữ cho WhatsApp có trách nhiệm giải trình – nếu các khóa không khớp, nó sẽ khiến công ty bị giám sát chặt chẽ.
Tính năng xác minh chính của WhatsApp cho phép bạn đảm bảo rằng cuộc chat của bạn không bị một bên thứ ba độc hại tấn công hoặc chặn.
Phải nói rằng, WhatsApp không hoàn hảo – nó ghi lại một lượng lớn thông tin về bạn bên ngoài giao diện chat. Dữ liệu được thu thập bao gồm danh sách liên hệ, vị trí, số nhận dạng thiết bị và lịch sử giao dịch của bạn, trong số những dữ liệu khác. Tuy nhiên, Signal là giải pháp thay thế duy nhất tuyên bố thu thập ít dữ liệu hơn và nhấn mạnh tính bảo mật bằng các cuộc kiểm toán bảo mật độc lập. Các ứng dụng chat phổ biến khác như Messenger và Telegram thậm chí không cung cấp mã hóa đầu cuối theo mặc định.
Các cuộc tấn công lừa đảo WhatsApp tiềm ẩn mà bạn nên đề phòng
Hiện tại, khá rõ ràng rằng nội dung của các cuộc chat trên WhatsApp của bạn vẫn được giữ bí mật. Tuy nhiên, vẫn có một số cạm bẫy bảo mật tiềm ẩn mà bạn cần lưu ý. Mặc dù các cuộc chat của bạn sẽ không bao giờ bị chặn trên đường đến với bạn, nhưng chúng khá dễ bị lộ khi đến đích. Nói cách khác, điện thoại của bạn và bất kỳ thiết bị nào của người nhận đều là mục tiêu dễ dàng hơn cho các cuộc tấn công tiềm ẩn.
Ví dụ: nếu bạn mất smartphone, kẻ tấn công có quyền truy cập vật lý vào nó có thể sao chép cơ sở dữ liệu tin nhắn WhatsApp của bạn khỏi thiết bị. Rất may, WhatsApp mã hóa file này và khôi phục khóa yêu cầu quyền root trên Android. Nếu bạn không biết đó là gì, bạn có thể không có gì phải lo lắng. Điều đó nói rằng, họ vẫn có thể truy cập các file phương tiện như hình ảnh và video. Tất cả điều này có thể được khắc phục dễ dàng bằng một khóa màn hình đơn giản trên smartphone của bạn.
Điện thoại và tài khoản lưu trữ đám mây của bạn là mục tiêu dễ dàng hơn đối với hầu hết những kẻ tấn công, vì vậy hãy bảo mật thật tốt các bản sao lưu của bạn.
Một vectơ tấn công tiềm năng được công bố rộng rãi khác liên quan đến việc sao lưu đám mây vào Google Drive và iCloud. Theo mặc định, WhatsApp sẽ sao lưu các cuộc chat của bạn vào các dịch vụ này mà không cần bất kỳ mã hóa nào. Điều này có nghĩa là nếu kẻ tấn công bằng cách nào đó có được quyền truy cập vào tài khoản lưu trữ đám mây của bạn, về mặt lý thuyết, chúng cũng có thể lấy được dữ liệu WhatsApp của bạn.
May mắn thay, WhatsApp đã triển khai khả năng mã hóa các bản sao lưu chat bằng mật khẩu hoặc khóa mã hóa. Khóa sau là một khóa 64 chữ số được tạo ngẫu nhiên. Bạn có thể lưu trữ nó trong phần mềm quản lý mật khẩu để bảo mật tối đa. Đây là một tính năng chọn tham gia, vì vậy hãy đảm bảo rằng bạn bật nó trong Cài đặt > Chat > Sao lưu chat trong ứng dụng WhatsApp trên Android.
Về chủ đề các tính năng bảo mật tùy chọn của WhatsApp, hãy cân nhắc việc bật xác thực hai yếu tố. Bạn có thể tìm thấy nó trong Cài đặt WhatsApp > Tài khoản > Xác minh hai bước . Thao tác này sẽ yêu cầu bạn nhập mã PIN khi đăng ký tài khoản trên điện thoại mới. Nó sẽ không ngăn rò rỉ dữ liệu nhưng có thể ngăn chặn các nỗ lực đăng nhập gian lận từ các phần tử độc hại.
