Buzz
Sự đẩy mạnh để mã hóa lưu lượng trên toàn bộ web đã tạo ra một trải nghiệm duyệt web an toàn và bảo mật hơn trên hàng triệu trang web. Nhưng không phải tất cả nơi đều sử dụng Transport Layer Security (TLS) để giữ cho các trang web sử dụng HTTPS an toàn khỏi ánh mắt tò mò. Điều này bao gồm cả hệ thống iTunes và iOS App Store của Apple, nhưng chúng chạy các tải xuống qua các kết nối không mã hóa.
Thường thì bạn có thể biết khi một trang web sử dụng mã hóa HTTPS bằng biểu tượng ổ khóa màu xanh lá cây ở phía trái thanh URL. Nhưng không phải mọi cổng thông tin web đều có loại chỉ báo hình ảnh đó, và điều này đã dẫn các nhà nghiên cứu từ công ty sản phẩm bảo vệ quyền riêng tư Disconnect đến iTunes và App Store.
Mỗi khi bạn tải xuống một ứng dụng hoặc cập nhật từ App Store, hoặc một bộ phim, chương trình truyền hình, hoặc bài hát từ iTunes, nó di chuyển qua HTTP mà không có TLS. Điều này ít nhất làm cho việc theo dõi tất cả các tương tác đó của bạn trở nên lý thuyết dễ dàng hơn cho Nhà Cung Cấp Dịch Vụ Internet của bạn, một hacker của quốc gia, hoặc thậm chí chỉ một người nào đó trên mạng Wi-Fi chung. Mỗi lần tải xuống không mã hóa cũng bao gồm một mã do Apple tạo ra được gọi là Định Danh Tín Hiệu Đích, đó là một ID thiết bị duy nhất được iCloud tạo ra và chỉ thay đổi định kỳ. Các nhà nghiên cứu lo ngại rằng những kẻ tấn công có thể sử dụng DSIDs để theo dõi thói quen truyền thông của người nào đó hoặc các ứng dụng họ sử dụng.
“Khi bạn rời khỏi trình duyệt, không có cách nào để biết được cái gì được bảo vệ bằng TLS và cái gì không,” nói ông Patrick Jackson, Giám đốc Công nghệ của Disconnect, một cựu nghiên cứu viên NSA. “Có rất nhiều điều bạn có thể tìm hiểu về ai đó dựa trên việc họ đang tải xuống một ứng dụng, các phương tiện truyền thông họ quan tâm đến. Với những thói quen đó, họ đã tiết lộ nhiều về bản chất của họ.”
Các nhà nghiên cứu Disconnect đã gửi một báo cáo lỗi về hành vi này cho Apple vào tháng 9, nêu rõ lo ngại của họ và lưu ý rằng bất kỳ ai cũng có thể xác nhận các quan sát bằng một công cụ phân tích mạng ghi lại lưu lượng. Apple đã trả lời rằng tình trạng này không phải là lỗi và việc tải xuống qua HTTP là “đúng đắn”. Phản ứng chỉ ra rằng mặc dù các tải xuống chính nó không được mã hóa, nhưng các pha khác của tương tác để khởi động và hoàn thành một tải xuống đều được mã hóa, bao gồm việc chuyển dữ liệu siêu dữ liệu trước tải xuống thực sự. Apple cũng có một quy trình để xác nhận mật mã sự hợp lệ và tính toàn vẹn của các tệp đã tải xuống. Công ty từ chối bình luận thêm về việc họ sử dụng HTTP cho các tải xuống.
Quan trọng là nhớ rằng tất cả điều này là khác biệt so với lưu lượng internet bên trong các ứng dụng, mà nói chung được mã hóa. Kể từ năm 2016, Apple đã yêu cầu các nhà phát triển sử dụng TLS trong các ứng dụng họ gửi đến App Store, mặc dù có những mục không tuân thủ đã được biết đến. Apple cũng hơi chậm trong việc triển khai TLS cho iTunes nói chung, và mở rộng việc sử dụng vào năm 2013 sau khi các nhà nghiên cứu bày tỏ lo ngại.
Mặc dù ban đầu có vẻ ngạc nhiên khi một công ty được cho là ủng hộ quyền riêng tư như Apple có thể không cung cấp việc áp dụng HTTPS toàn diện trên hạ tầng của mình, nhà nghiên cứu iOS Will Strafach nói rằng anh nghĩ cấu hình này phục vụ một mục đích cụ thể. Bằng cách gửi các tải xuống chính qua HTTP văn bản thay vì kết nối được mã hóa, các quản trị hệ thống, đặc biệt là trong môi trường doanh nghiệp lớn, có thể tạo ra một loại trạm dừng để lưu trữ ứng dụng lớn và tệp trên mạng cục bộ để phân phối nhanh hơn. Điều đó có nghĩa là họ sẽ không tốn băng thông nếu ứng dụng, bản cập nhật hoặc tệp khác đang được tải xuống lần lượt trên nhiều thiết bị. Nếu kết nối được mã hóa giữa máy chủ của Apple và thiết bị, trạm dừng đó sẽ không thể thực hiện.
"Đầu tiên có vẻ không tiêu chuẩn và kỳ lạ, nhưng tôi nghĩ không có mối đe doạ về an ninh ở đây vì kiểm tra tính toàn vẹn vẫn xảy ra," Strafach nói. Anh ấy đồng ý rằng luôn có nhược điểm tiềm ẩn khi gửi dữ liệu không mã hóa, nhưng lưu ý rằng một kẻ tấn công muốn theo dõi những gì một mục tiêu đang tải xuống có thể vẫn thực hiện được ngay cả với mã hóa TLS, dựa trên kích thước của ứng dụng.
Về phần Google Play Store, có vẻ như họ đã tìm ra một cách để vượt qua cơ chế lưu trữ đệm này, điều này không quá ngạc nhiên khi Google đã chọn ra mặt ủng hộ cho HTTPS tỏng vài năm qua. Một người phát ngôn của Google nói với Mytour rằng tất cả dữ liệu và tệp tin của Play được chuyển qua HTTPS hoàn chỉnh với kiểm tra tính toàn vẹn. Disconnect xác nhận rằng họ không thấy bất kỳ lưu lượng HTTP nào chỉ đến từ Google Play.
Ngoài các chi tiết về iTunes và App Store, nhóm nghiên cứu Disconnect nói rằng những kẽ hở trong việc triển khai HTTPS là một vấn đề quan trọng đối với ứng dụng và nền tảng web, vì hầu hết họ không cung cấp các chỉ báo rõ ràng cho người dùng. Người khác cũng đã đổ chuông báo động; các nhà nghiên cứu từ Đại học Cincinnati đã phát hiện trong một nghiên cứu thực hiện vào năm ngoái rằng nhiều ứng dụng Android không triển khai TLS đầy đủ vì vấn đề như thực hành kém cỏi của nhà phát triển, cấu hình máy chủ sai lầm và vấn đề tài liệu. Ngay cả các ứng dụng phổ biến như Tinder cũng chậm trong việc thêm HTTPS.
Mạng web hiện nay chắc chắn an toàn hơn bao giờ hết nhờ sự mở rộng của HTTPS. Tuy nhiên, một số phần của nó — thậm chí là các phần lớn như iTunes — vẫn chưa hoàn toàn tham gia và có thể không bao giờ tham gia.
Các tác phẩm tuyệt vời khác từ Mytour
- Chạy 100m nhanh nhất mà con người có thể chạy là bao nhiêu?
- Amazon muốn bạn viết mã não trí tuệ nhân tạo cho chiếc ô tô nhỏ này
- Quảng cáo cuối năm của Spotify nhấn mạnh cái kỳ lạ và tuyệt vời
- Chán giao thông? Kiểm soát tình yêu của bạn với mua sắm trực tuyến
- Bạn có thể mở cửa nổ chiếc nồi chiên không dầu ra khỏi tay lạnh của tôi
- Tìm kiếm thêm? Đăng ký nhận bản tin hàng ngày của chúng tôi và đừng bao giờ bỏ lỡ những câu chuyện mới và xuất sắc nhất của chúng tôi
