Telegram không thật sự bảo mật

Tại sân bay Bourget ngoại ô Paris vào tối 24/8, Pavel Durov, CEO của Telegram, đã bị bắt tại Pháp với cáo buộc tiếp tay cho tội phạm trên ứng dụng.

Phần lớn các phương tiện truyền thông đưa tin về vụ bắt giữ đều gọi Telegram là "ứng dụng nhắn tin được mã hóa".

Tuy nhiên, theo Matthew Green - giáo sư mật mã học của Đại học Johns Hopkins, thuật ngữ này về cơ bản đã bóp méo bản chất của Telegram và cách thức hoạt động của nó.

Telegram có mã hóa hay không?

Có rất nhiều hệ thống sử dụng mã hóa theo cách này hay cách khác. Tuy nhiên, khi nói về mã hóa trong các dịch vụ nhắn tin riêng tư hiện đại, từ này thường có một ý nghĩa rất cụ thể.

Nó đề cập đến việc mặc định sử dụng mã hóa đầu cuối để bảo vệ nội dung tin nhắn của người dùng. Cụ thể, tính năng này đảm bảo rằng mọi tin nhắn sẽ được bảo mật bằng khóa mã hóa.

Với tư cách một người dùng, mã hóa đầu cuối chỉ thật sự đúng mỗi khi bắt đầu một cuộc trò chuyện, tin nhắn của bạn sẽ chỉ có thể được đọc bởi những người bạn muốn giao tiếp.

Minh họa về bảo mật đầu cuối. Ảnh: GeeksforGeeks.

Nếu người điều hành dịch vụ nhắn tin cố gắng xem nội dung tin nhắn của bạn, tất cả những gì họ thấy sẽ chỉ là mớ hỗn độn đã được mã hóa.

Sự đảm bảo tương tự cho bất kỳ ai có thể hack vào máy chủ của nhà cung cấp và cũng áp dụng cho các cơ quan thực thi pháp luật khi yêu cầu nhà cung cấp bằng lệnh triệu tập.

Xét theo định nghĩa này, Telegram rõ ràng không đáp ứng được vì một lý do đơn giản. Theo mặc định, ứng dụng nhắn tin này không mã hóa các cuộc trò chuyện từ đầu đến cuối.

Nếu muốn sử dụng mã hóa từ đầu đến cuối trong Telegram, bạn sẽ phải kích hoạt thủ công một tính năng có tên là Secret Chats cho mọi cuộc trò chuyện riêng tư mà bạn muốn có.

Thực tế, tính năng này không được bật cho phần lớn các cuộc trò chuyện và chỉ khả dụng cho các cuộc trò chuyện giữa hai người. Trong khi đó, các cuộc trò chuyện nhóm có hơn hai người tham gia sẽ không có giao thức bảo mật đầu cuối.

Theo Green, kể cả có muốn sử dụng, việc kích hoạt mã hóa đầu cuối trong Telegram thực sự rất khó khăn đối với những người dùng không chuyên.

"Từ màn hình trò chuyện thông thường, tùy chọn này không hiển thị trực tiếp. Để kích hoạt bảo mật đầu cuối, bạn cần phải thao tác đến 4 lần. Sau đó, tôi vẫn không thể gửi bất kỳ tin nhắn nào cho bạn của mình, vì tính năng Secret Chats của Telegram chỉ có thể được bật nếu người dùng kia cũng trực tuyến", vị giáo sư chia sẻ.

Dấu hỏi về sự minh bạch

Thay vì cải thiện khả năng sử dụng mã hóa đầu cuối của Telegram, Durov vẫn giữ nguyên giao diện mã hóa kể từ năm 2016.

Thao tác kích hoạt tính năng bảo mật trò chuyện trong Telegram gây khó khăn cho người dùng phổ thông. Ảnh: Matthew Green.

Mặc dù đã có một vài nâng cấp đối với các thuật toán mã hóa cơ bản được nền tảng này sử dụng, nhưng trải nghiệm người dùng với Secret Chats vào năm 2024 gần như giống hệt với trải nghiệm mà cách đây 8 năm.

Hồi tháng 5, Pavel Durov đã đưa ra lời chỉ trích gay gắt đối với Signal và WhatsApp trên kênh Telegram cá nhân của mình, ám chỉ rằng các hệ thống này đã bị chính phủ Mỹ cài cửa hậu, đồng thời quảng bá chỉ có các giao thức mã hóa độc lập của Telegram mới thực sự đáng tin cậy.

Thực tế cho thấy, Telegram cũng sử dụng biện pháp mã hóa đầu cuối giống như WhatsApp và Signal.

Loại mã hóa này chuyển đổi tin nhắn thành mật mã mà không cần sự trợ giúp của máy chủ ở giữa, khiến nó gần như không thể truy cập vào giao tiếp giữa hai người dùng khi không có sự đồng ý của họ.

Tuy nhiên, khác với WhatsApp, Telegram sử dụng giao thức bảo mật của riêng họ được gọi là MTProto. Hiện có rất nhiều tranh luận xung quanh hệ thống này.

"Không ai biết cách nó hoạt động, và rất nhiều phân tích an ninh đã chỉ ra rằng nó không an toàn như nhiều người nghĩ", Giáo sư Alan Woodward, chuyên gia bảo mật tại đại học Surrey (Anh) nhận định.

Trong khi đó, giáo sư Green lại cho rằng mặc dù mã hóa đầu cuối là một trong những công cụ tốt nhất để ngăn chặn việc xâm phạm dữ liệu, nhưng đó chưa phải là kết thúc của câu chuyện.

Thay vào đó, một trong những vấn đề lớn nhất về quyền riêng tư trong nhắn tin là tính khả dụng của rất nhiều siêu dữ liệu - thuật ngữ về dữ liệu về người sử dụng dịch vụ, những người họ nói chuyện và thời điểm các cuộc trò chuyện diễn ra.

Telegram không an toàn như những gì nhà sáng lập Pavel Durov quảng bá. Ảnh: Fortune.

Những dữ liệu này thường không được bảo vệ bằng mã hóa đầu cuối. Ngay cả trong các kênh Telegram không trò chuyện, vẫn có rất nhiều siêu dữ liệu hữu ích về việc người dùng đang theo dõi.

"Chỉ riêng thông tin đó đã có giá trị đối với mọi người, bằng chứng là số tiền khổng lồ mà các đơn vị truyền thông chi ra để thu thập nó. Hiện tại, tất cả thông tin đó đều có khả năng tồn tại trên máy chủ của Telegram, nơi bất kỳ ai muốn thu thập đều có thể truy cập", chuyên gia mật mã học cho biết.

Nhiều chính quyền phương Tây thực tế đã rất quan tâm đến chính sách quyền riêng tư của Telegram. Tuy nhiên, với Telegram, mọi chuyện khó khăn hơn nhiều khi mạng xã hội này có trụ sở chính tại Dubai.

Đây là yếu tố then chốt giúp Telegram có thể thoát khỏi phần lớn sự giám sát theo quy định và các yêu cầu thủ tục pháp lý, vốn là thứ đã gây khó khăn cho các nền tảng tương tự ở Thung lũng Silicon trong những năm gần đây.

“Ở Dubai, chính phủ không làm phiền chúng tôi", Durov nói với Financial Times.

Anh Tuấn