Video: Cốc Cốc lấy thông tin như thế nào?

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi lochv37, 16/04/18, 05:04 PM.

  1. lochv37

    lochv37 W-------

    Tham gia: 05/01/15, 03:01 PM
    Bài viết: 29
    Đã được thích: 20
    Điểm thành tích:
    8
    Như đã thông tin trong bài Nghi vấn trình duyệt Cốc Cốc lấy cookies tài khoản Facebook, mình đã tiến hành thực nghiệm để làm rõ vấn đề.

    Trong bài trước, mình đã đặt ra hai câu hỏi:

    1. Cốc Cốc có lấy cookies Facebook của người dùng?

    2. Tính năng spell check của Cốc Cốc có gửi mọi thông tin của người dùng về cho Cốc Cốc?

    Câu trả lời cho câu hỏi thứ nhất là KHÔNG! Như Cốc Cốc đã thông tin, lỗi này là do người dùng sử dụng đồng thời add-on Ninja Fast Login Facebook, phần mềm sử dụng cookies người dùng đã copy để đơn giản hóa việc đăng nhập vào Facebook, và tính năng kiểm tra lỗi chính tả spell checker của Cốc Cốc.

    Câu trả lời cho câu hỏi thứ hai là CÓ!

    Trong video thử nghiệm trên một phiên bản phát hành trước ngày 16.4, kết quả thật bất ngờ, những gì mình gõ vào Cốc Cốc đều được gửi về server của Cốc Cốc (https://spell.itim.vn), kể cả tin nhắn riêng với bạn mình.
    Còn đối với phiên bản mới nhất phát hành hôm nay 16.4 thì không thấy gửi về nữa. Các bạn xem clip dưới đây và tự quyết định xem mình nên làm gì nhé.

    Cập nhật: Cốc Cốc không gửi về thông tin mật khẩu hoặc chuỗi chỉ gồm có số. Tuy nhiên, ngoài 2 cái đó ra thì Cốc Cốc có gửi những thông tin khác về, miễn là người dùng gõ trên trình duyệt, bao gồm chat, email…

    Về spell check?
    1. Spell check là gì?
    Spell check là tính năng kiểm tra chính tả nhập vào có đúng cú pháp hay không

    2. Spell check có cần kết nối internet để hoạt động không?
    Hầu hết các module tích hợp tính năng spell check đều được gắn ở phía client . Tức là khi bạn gõ các ký tự thì việc kiểm tra chính tả đó sẽ được một phần mềm chạy trên máy bạn kiểm tra theo một thuật toán và ngôn ngữ được cài đặt trước chứ không gửi đi đâu. Việc cài đặt hoạt động trên client sẽ giúp cho tính năng này hoạt động nhanh phản hồi ngay lập tức, không phụ thuộc vào internet. Và tất nhiên điều quan trọng là dữ liệu đó là của cá nhân nên không lộ thông tin của người dùng ra bên ngoài internet.


     

    Các file đính kèm:

    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  2. hungp

    hungp Whi-----

    Tham gia: 27/12/14, 12:12 PM
    Bài viết: 73
    Đã được thích: 47
    Điểm thành tích:
    48
    "Còn đối với phiên bản mới nhất phát hành hôm nay 16.4 thì không thấy gửi về nữa" => Bên Cốc Cốc cập nhật nhanh thế nhỉ @@
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. Hiếu Phan

    Hiếu Phan New Member

    Tham gia: 16/04/18, 09:04 PM
    Bài viết: 3
    Đã được thích: 0
    Điểm thành tích:
    1
    Chào bạn, mình là Hiếu Phan, developer từ Cốc Cốc Browser. Mình xin trả lời bạn câu hỏi này như sau:

    > 2. Tính năng spell check của Cốc Cốc có gửi mọi thông tin của người dùng về cho Cốc Cốc?

    Để phục vụ cho tính năng spell checker, chúng tôi bắt buộc phải gửi những gì bạn nhập vào text field lên server. Server sẽ kiểm tra và trả kết quả gợi ý trở lại cho browser. Dữ liệu gửi lên là vô danh (anonymous). Chúng tôi không thể biết chính xác ai đã gửi dữ liệu lên. Đấy là thiết kế bình thường cho một online service nào.

    Google cũng thiết kế tính năng spell checker như vậy. Bạn có thể xem: https://www.google.com/intl/en/chrome/browser/privacy/whitepaper.html#spelling

    Tuy nhiên chúng tôi biết đây là dữ liệu nhạy cảm, do đó từ bản 68 (released vào tháng 12/2017), chúng tôi đã tiến hành mã hoá nó. Điều này khiến dữ liệu của bạn được bảo đảm hơn bao giờ hết.
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  4. Putin

    Putin W-------

    Tham gia: 14/10/14, 03:10 AM
    Bài viết: 38
    Đã được thích: 7
    Điểm thành tích:
    18
    Chào Hiếu Phan,

    Mình phản biện lại 3 ý như sau:

    - Google cũng có tính năng như bạn nói, theo link bạn gửi mình đã đọc, tuy nhiên Google mặc định disable tính năng này đi, người dùng phải chủ động bật lên, còn Cốc Cốc thì mặc định enable lên, người dùng phải chủ động tắt đi, cái đó là sự khác biệt (https://www.google.com/intl/en/chrome/browser/privacy/whitepaper.html#spelling)

    Google_SpellCheck.png

    - Về nguyên tắc mã hóa, bạn có thể cho biết mã hóa ở đây bạn dùng phương pháp gì không ? nếu dùng mã hóa bí mật (không phải mã hóa công khai) thì key mã hóa bạn quản lý, khi đó bạn giải mã lúc nào chả được, do vậy việc mã hóa là vô nghĩa. Thêm nữa, như Google có thông báo rõ, tính năng này lưu trữ dữ liệu "tạm thời" thôi, còn mình không rõ các bạn lưu trữ thông tin này trong bao lâu ?

    Google_SpellCheck2.png
    - Các bạn biết từ 12/2017 đây là dữ liệu nhạy cảm, và để dữ liệu dạng không mã hóa như vậy là có vđ, sao các bạn không thông báo cho người dùng mà âm thầm xử lý, mình thấy cái này tương tự cách FB đã làm với vụ bị Cambrige Anatica gì đó mới đây !.
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    rwm, whf and hungp like this.
  5. Hiếu Phan

    Hiếu Phan New Member

    Tham gia: 16/04/18, 09:04 PM
    Bài viết: 3
    Đã được thích: 0
    Điểm thành tích:
    1
    Mình xin trả lời bạn như sau:
    Cốc Cốc nhận thấy đây là một tính năng hữu ích đối với người sử dụng, do đó chúng tôi đã bật tính năng này mặc định cho trình duyệt của mình.

    Để có thể đưa ra gợi ý cho người dùng, chúng tôi bắt buộc phải giải mã nội dung. Điều này cũng hết sức bình thường. Chúng tôi cũng như Google chỉ lưu trữ dữ liệu tạm thời cho mục đích sửa lỗi và cải thiện chất lượng dịch vụ.

    Khác nhau chứ bạn, chúng tôi cam kết dữ liệu của người dùng an toàn, không bị lọt ra ngoài và chúng tôi không bán hay chia sẻ cho bất kì bên thứ 3 nào.

    Cảm ơn bạn.
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  6. HustReMw

    HustReMw Moderator Thành viên BQT

    Tham gia: 20/12/16, 05:12 PM
    Bài viết: 158
    Đã được thích: 104
    Điểm thành tích:
    43
    Cả user và pass facebook, gmail.. gõ vào để gửi về server của cốc cốc ak chủ thớt
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  7. poseidon

    poseidon Well-Known Member

    Tham gia: 09/04/17, 04:04 PM
    Bài viết: 55
    Đã được thích: 9
    Điểm thành tích:
    8
    Facebook cũng cam kết dữ liệu của người dùng an toàn bạn ạ. Và tiếp theo thế nào chắc mọi người đều biết.

    Khi bạn dùng cái gì miễn phí thì chi phí chính là dữ liệu của bạn. Trình duyệt ai cũng phải dùng, quan trọng là chọn dùng cái nào.
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  8. poseidon

    poseidon Well-Known Member

    Tham gia: 09/04/17, 04:04 PM
    Bài viết: 55
    Đã được thích: 9
    Điểm thành tích:
    8
    Trong video khi type ở ô mật khẩu Coccoc sẽ tự biết và không ghi nhận, chỉ có ô tài khoản thôi. Nhưng những gì bạn gõ ở ô chat, trong email... là có.
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    Hiếu Phan thích bài này.
  9. phucnguyentvp

    phucnguyentvp New Member

    Tham gia: Thứ ba
    Bài viết: 1
    Đã được thích: 0
    Điểm thành tích:
    1
    Còn vụ aff thì sao nhỉ ,
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  10. nktung

    nktung Super Moderator Thành viên BQT

    Tham gia: 08/10/13, 04:10 AM
    Bài viết: 751
    Đã được thích: 279
    Điểm thành tích:
    83
    Theo mình thì người dùng và các công ty cung cấp phần mềm/dịch vụ miễn phí là quan hệ win-win. Tuy nhiên, quan hệ này này cần phải minh bạch và tuân thủ pháp luật.
    Pháp luật thì phải tuân thủ rồi.
    Còn việc minh bạch được thể hiện trong việc cung cấp thông tin rõ ràng về dịch vụ; cung cấp cho người dùng những lựa chọn khác nhau trong việc sử dụng phần mềm/dịch vụ + khuyến cáo rõ ràng. Nếu như vậy thì mới là quan hệ win-win. Ngược lại nó sẽ trở thành lợi dụng. Và khi là lợi dụng thì sẽ không còn win-win nữa, người dùng sẽ quay lưng lại với sản phẩm/dịch vụ không an toàn.
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    DiepNV88 and Hiếu Phan like this.
  11. 5kytu

    5kytu W-------

    Tham gia: 18/09/15, 11:09 PM
    Bài viết: 20
    Đã được thích: 15
    Điểm thành tích:
    8
    1. Tại sao dữ liệu người dùng được gửi lên server một cách âm thầm mà họ không hề biết hay được thông báo trước từ Cốc Cốc?
    2. Ngay cả việc dữ liệu bị thu thập còn không được thông báo, dữ liệu có được mã hóa hay không thì lấy gì để đảm bảo dữ liệu người dùng không bị lợi dụng, hay bị lộ lọt ra ngoài?
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  12. daemoncute

    daemoncute W-------

    Tham gia: 30/06/15, 11:06 PM
    Bài viết: 3
    Đã được thích: 3
    Điểm thành tích:
    3
    Rất hài hước. EULA là cái mà đối với dân Việt Nam quá xa xỉn.

    1. Gửi text lên cho server để gợi ý? CHO MỌI TRƯỜNG TEXT??? Bao gồm tất cả mọi thứ? Như chẳng hạn: Tài khoản đăng nhập ngân hàng? Credit card? Và gửi KHÔNG CẦN HỎI? Nếu là spellcheck thì từ điển offline đã là quá đủ rồi.

    2. Như thế nào là an toàn? Trường hợp gần đây của FB. FB lưu trữ thông tin người dùng. Đó là điều hiển nhiên. Việc nó bị lạm dụng mới là vấn đề. Còn case của CỐC CỐC, rõ ràng là đa vi phạm quyền riêng tư người dùng.

    3. Không tiết lộ. Thế có thể bị khai thác không? Một bạn nhân viên xấu tính hoặc một lỗ hổng nào đó có thể mang theo toàn bộ user data đi. Đừng nói gì là không thể. Hơn nữa dữ liệu đã gửi lên đến server của CỐC CỐC, nói như gạo đã nấu thành cơm vậy, ông nói ông không ăn thì người ta tin chắc.

    Thoạt đầu nghe vụ này còn hoài nghi mấy ông Whitehat câu fame, giờ Dev của CỐC CỐC claim vụ này luôn thì sợ thật
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    rwm, Lightning229 and lochv37 like this.
  13. lochv37

    lochv37 W-------

    Tham gia: 05/01/15, 03:01 PM
    Bài viết: 29
    Đã được thích: 20
    Điểm thành tích:
    8
    Bản update ngày 16.4, dữ liệu không còn được gửi lên spell.itim.vn nữa nhưng vẫn thấy gợi ý gõ sai như thuờng
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  14. daemoncute

    daemoncute W-------

    Tham gia: 30/06/15, 11:06 PM
    Bài viết: 3
    Đã được thích: 3
    Điểm thành tích:
    3
    Bác không mở TAB response lên xem body nó là gì. Có thật là suggestion không? Hay lại blank
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  15. lochv37

    lochv37 W-------

    Tham gia: 05/01/15, 03:01 PM
    Bài viết: 29
    Đã được thích: 20
    Điểm thành tích:
    8
    response là hint lỗi sai bạn ạ, không phải trắng trơn đâu
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan