⚠ Lưu ý: Đây không phải là một lỗi bảo mật của Zalo.
Lời tựa
Từ khi thấy tôi được lên báo vì hack vào mấy website bên Mỹ, bạn bè tôi rất hay nhờ tôi hack hộ cái gì đấy. Nhờ hack Facebook thì lại quá tầm thường, có đứa tự nhiên một hôm đẹp trời gọi tôi bảo là đối tác làm ăn vừa bị công an tóm, giờ hack vào Zalo của ông ấy để xóa hết tin nhắn với nó có được không. Tôi bảo không, thì nó lại bảo tôi là tưởng hacker thế nào.
Thế hacker là phải thế nào 😒?
Nội dung chính
Lại có một đứa bạn khác, giữa trưa đang thiu thiu ngủ thì nháy máy ầm ĩ, bảo là vừa phát hiện con yêu sớm, nhưng xem Zalo của thằng nhóc thì thấy đã ẩn mấy tin nhắn ấy rồi, giờ nhờ tôi tìm xem mật khẩu là gì.
Tôi không dùng Zalo nên cũng không biết là Zalo có chức năng này, nên phải hỏi nó xem cụ thể ra sao. Nó bảo ẩn bằng mật khẩu 4 chữ số thôi, mày chắc làm tí là xong. Mặc dù tôi không tin là chức năng này có thể có lỗi, nhưng nghe cũng dễ ăn thật nên tôi không ngủ nữa.
Sau khi dùng thử, tôi bắt đầu nghĩ là có lẽ có chút hiểu lầm ở đây. Chức năng này (dựa theo cách thức hoạt động) không nên được coi là một tính năng bảo mật. Nó có ích trong một vài trường hợp cụ thể, nhưng nếu ai đó đã đăng nhập được vào tài khoản Zalo của chúng ta thì chức năng này không có nhiều ý nghĩa.
Các cuộc trò chuyện ẩn sẽ hiện ra khi nhập đúng mã PIN ở thanh tìm kiếm.
Hơi lạ là khi tôi thử vào chức năng cài đặt để thay đổi mã PIN này, thì tôi thấy mỗi khi nhập mã PIN sai, kết quả được phản hồi rất nhanh, giống như nó được thực hiện ngay ở phía client vậy 🤨
Điều này được kiểm chứng sau vài phút tôi ngồi debug, hóa ra đúng là mã PIN này được trả về từ server thật, dưới dạng MD5 🤦:
Và request để thay đổi mã PIN, cũng rất tự nhiên là không bao gồm mã PIN cũ.
Kết luận
Thằng con bạn tôi chắc là lành ít dữ nhiều, cơ mà vì hồi bằng tuổi nó tôi chưa có người yêu nên kết cục với nó ngày hôm nay theo tôi cũng hợp lý. Mong hai mẹ con nó ngồi lại nói chuyện với nhau để hiểu nhau hơn, bao lâu cũng được nhưng đừng lôi tôi vào 🙈