Chính phủ Ba Lan yêu cầu quan chức ngừng sử dụng Signal, chuyển sang ứng dụng nhắn tin nội địa

Chính phủ Ba Lan đang kêu gọi các quan chức công và "các thực thể trong Hệ thống An ninh Mạng Quốc gia" ngừng sử dụng Signal, thay vào đó hãy sử dụng ứng dụng nhắn tin mã hóa do một tổ chức nghiên cứu hàng đầu của Ba Lan phát triển.

Trong một thông báo vào thứ Sáu, chính phủ cho biết Signal tiềm ẩn rủi ro bảo mật, bao gồm các cuộc tấn công kỹ thuật xã hội do các nhóm mối đe dọa dai dẳng tiên tiến (APT) tổ chức.

"Các Đội phản ứng sự cố an ninh mạng cấp quốc gia (CSIRT) đã xác định các chiến dịch lừa đảo do các nhóm APT liên quan đến các cơ quan nhà nước thù địch thực hiện," thông báo nêu rõ. "Các cuộc tấn công này nhắm vào các nhân vật công chúng và nhân viên chính phủ."

Nguy cơ từ các cuộc tấn công kỹ thuật xã hội

Cung cấp ví dụ về các chiến dịch kỹ thuật xã hội này, chính phủ cho biết tin tặc mạo danh nhân viên hỗ trợ của Signal và lạm dụng lòng tin này để chiếm đoạt tài khoản của nạn nhân.

Kẻ tấn công lừa người dùng mở các liên kết độc hại bằng cách gửi tin nhắn được thiết kế để tạo cảm giác khẩn cấp, chẳng hạn như thông báo tài khoản của họ bị chặn. Các nỗ lừa đảo thành công có thể làm lộ số điện thoại của nạn nhân và quan trọng hơn là các tin nhắn trao đổi giữa các quan chức chính phủ, gây đe dọa đến an ninh quốc gia.

Một bản tư vấn chi tiết hơn trích dẫn "các sự cố bảo mật gần đây" liên quan đến Signal là lý do cho sự thay đổi này. Mặc dù không chỉ rõ cụ thể các cuộc tấn công này là gì hay ai đứng sau, nhưng có thể giả định rằng chính phủ Ba Lan đang ám chỉ các nỗ lực lừa đảo của Nga nhắm vào cả Signal và WhatsApp, vốn đã được tiết lộ vào tháng 3.

Các cơ quan tình báo Hà Lan AIVD và MIVD cũng đã báo cáo về một chiến dịch "quy mô lớn" nhắm vào các quan chức chính phủ của họ, lưu ý rằng một số cuộc tấn công đã thành công. "Các tin tặc Nga có khả năng đã tiếp cận được thông tin nhạy cảm," AIVD và MIVD cho biết.

Ngoài việc mạo danh nhân viên hỗ trợ Signal, các cơ quan cho biết các cuộc tấn công cũng có thể liên quan đến việc người lạ thuyết phục nạn nhân giao mã xác minh hoặc PIN, hoặc lạm dụng tính năng Thiết bị liên kết (Linked Devices) của nền tảng thông qua mã QR để kiểm soát tài khoản.

Giải pháp thay thế: mSzyfr Messenger

Ba Lan đã công bố ra mắt ứng dụng mSzyfr Messenger vào tháng 3, cho biết nó được thiết kế để các thực thể quản lý công, những người tham gia Hệ thống An ninh Mạng Quốc gia và những người khác do chính phủ quyết định sử dụng.

Được phát triển bởi Bộ Chuyển đổi Số và Mạng lưới Máy tính Khoa học và Học thuật – Viện Nghiên cứu Quốc gia (NASK), mSzyfr được chính phủ quảng bá là "ứng dụng nhắn tin tức thời an toàn đầu tiên hoàn toàn dưới thẩm quyền của Ba Lan."

Tuy nhiên, ứng dụng này lại phụ thuộc vào xác thực đa yếu tố (MFA) do các tập đoàn khổng lồ của Mỹ cung cấp. Microsoft là lựa chọn được khuyến nghị, nhưng người dùng cũng có thể chọn Google hoặc FreeOTP.

Hơn nữa, nếu người dùng muốn giữ quyền truy cập vào tin nhắn ngay cả sau khi đăng xuất khỏi nền tảng, họ phải thiết lập khóa khôi phục, mà hướng dẫn cài đặt gợi ý nên lưu trữ trong trình quản lý mật khẩu. Điều này làm giảm đi một phần sự nhấn mạnh của chính phủ về thẩm quyền của Ba Lan, vì nhiều trình quản lý mật khẩu phổ biến要么 thuộc sở hữu nước ngoài,要么 là mã nguồn mở.

Một tài liệu Câu hỏi thường gặp (FAQ) cho mSzyfr cho biết ứng dụng nhắn tin này được xây dựng với triết lý "quyền riêng tư theo thiết kế" (privacy-by-design), và lưu ý rõ ràng rằng cả WhatsApp hay Signal都不 đáp ứng mô tả này. Tài liệu này cũng khẳng định các nền tảng có trụ sở tại Mỹ không tuân thủ GDPR.

Ứng dụng mSzyfr không công khai rộng rãi. Chỉ những cá nhân làm việc cho các tổ chức được phê duyệt mới có thể nhận được lời mời tham gia nền tảng.

Thay đổi trong chiến lược bảo mật

Ứng dụng này thay thế cho Threema có trụ sở tại Thụy Sĩ, mà chính phủ Ba Lan bắt đầu ủng hộ cho các quan chức nhà nước và thực thi pháp luật vào năm 2022. Tuy nhiên, dữ liệu như tin nhắn không thể được chuyển sang do tính chất mã hóa của các ứng dụng. Tất cả người dùng Threema nên mong đợi nhận được lời mời tham gia mSzyfr trong tương lai gần, nếu họ chưa nhận được.

The Register đã yêu cầu Signal bình luận về thông báo của Ba Lan, nhưng họ chưa phản hồi ngay lập tức. Tuy nhiên, Signal gần đây đã giải quyết các lo ngại bảo mật được các cơ quan tình báo khác nhau đưa ra vào tuần trước, bằng cách giới thiệu các cảnh báo và thông báo mới bên trong nền tảng để giúp người dùng phát hiện ra những kẻ mạo danh và tác nhân xấu.