Posts

The Internet of Broken Protocols: Showcase #7

(complete list of showcases: https://vnhacker.blogspot.com/search/label/The%20Internet%20of%20Broken%20Protocols. Showcase #6 was taken down because the protocol is not public)

I think I figured out the answer to this new challenge, but I haven't verified it yet. So be aware that it may be unsolvable.

Update: Without one more modification, the challenge is unsolvable AFAICT. The modification is: the public keys are sent as SubjectPublicKey.

The challenge is the Bluetooth ECDHE protocol with a twist: the public keys are now validated as valid points on curve. Everything else is kept the same. Can you break it?

The Bluetooth ECDHE protocol been found vulnerable to an elegant invalid curve attack. The full paper can be found here. I summarized the attack in this tweet. Tal Be'ery wrote a longer explanation.

Mastodon

Image
Hôm trước tôi giới thiệu Mastodon hơi vội vàng, nên giờ tôi muốn chia sẻ thêm một chút thông tin về công nghệ mạng xã hội này. Tôi gọi là công nghệ mạng xã hội vì Mastodon cho phép chúng ta tự xây dựng mạng xã hội cho riêng mình và kết nối với các mạng xã hội khác trên toàn thế giới. Nói cách khác, Mastodon là mạng của mạng.

Mastodon phổ biến ở các nước Nhật, Đức, Áo, Pháp và đã có tổng cộng hơn 1.4 triệu người dùng. Dự án của Mastodon trên GitHub thu hút 470 lập trình viên tham gia đóng góp, chứng tỏ nó là một dự án nghiêm túc và được sự ủng hộ của cộng đồng.

Mỗi người có thể tham gia vào một hoặc nhiều mạng Mastodon có sẵn (danh sách). Các mạng này liên kết với nhau, tin nhắn từ mạng này có thể xem ở mạng khác (mỗi mạng Mastodon cũng giống như một Page hoặc một Group trên Facebook, nhưng không bị Facebook kiểm soát). Ai không thích các mạng có sẵn, có thể tự thiết lập một mạng với luật chơi của riêng mình. Các thống kê về mạng Mastodon (xem ở https://dashboards.mnm.social và https…

Minds không mã hóa nội dung chat

Trong bài trước tôi có nói Minds mã hóa nội dung chat, nhưng lưu chìa khóa giải mã trên máy chủ. Chìa khóa giải mã được bảo vệ bằng mật khẩu của người dùng, nhưng mật khẩu này máy chủ biết. Nói cách khác, máy chủ Minds hoàn toàn có thể giải mã nội dung chat.

Tôi nhớ ra tôi chỉ mới xem mã nguồn app của Minds trên điện thoại, chưa xem phiên bản web ở địa chỉ https://minds.com. Tôi xem thì phát hiện phiên bản này không mã hóa nội dung chat. Nói cách khác, máy chủ Minds không cần làm gì cũng có thể xem được nội dung chat.

Nếu bạn sử dụng Minds, không nên gửi những nội dung nhạy cảm qua chat.

Tôi đã từng nghĩ Minds muốn bảo vệ riêng tư của người dùng, chỉ là họ không biết làm sao. Để giúp đỡ họ, tôi thông báo những lỗ hổng này cho Minds và đề nghị họ phải gỡ bỏ quảng cáo về "end-to-end encryption", cảnh báo người dùng về điểm yếu trong dịch vụ của họ và ngay lập tức tiến hành sửa lỗi.

Nhưng tôi đã lầm. Minds không gỡ bỏ quảng cáo, không cảnh báo người dùng và cũng không có động t…