Decompile App Nhà Trắng và cú "tự hủy" đi vào lòng đất: Chạy code từ Github cá nhân?

Chuyện là chính phủ Mỹ vừa ra mắt con app mới cho Nhà Trắng. Nghe thì oai như cóc, ngỡ đâu bảo mật cấp độ Lầu Năm Góc, ai dè một anh dev tò mò đem đi decompile và lòi ra một rổ phốt bảo mật cười ra nước mắt. Châm trà đá, hút điếu thuốc, nghe tôi kể chuyện tấu hài của dev chính quyền xứ cờ hoa này các ông ạ.

Nguồn cơn drama: App Nhà Trắng hay đồ án sinh viên?

Bỏ qua mấy cái thuyết âm mưu chính trị đi, một thanh niên rảnh rỗi trên Reddit đã lôi con app này ra mổ xẻ và chốt hạ: code cực kỳ cẩu thả và xin quyền thu thập dữ liệu (snoopy) vô tội vạ.

Nhưng cái chí mạng nhất, cái khiến cả cái sub r/programming phải đứng hình mất 5 giây là: App này load code từ một cái GitHub Pages cá nhân của một thanh niên ất ơ nào đó tên là lonelycpp.

Và nó chạy thẳng trong context của WebView anh em ạ. Các lão quái làng code chắc nghe đến đây là hiểu vấn đề rồi đúng không? Nghĩa là nếu cái tài khoản GitHub kia bị hack (hoặc anh chàng lonelycpp kia tự nhiên hứng lên lúc nửa đêm), bất kỳ ai nắm quyền control cái repo đó đều có thể bơm mã HTML và JavaScript tùy ý vào thẳng điện thoại của hàng triệu người dùng. Thay vì thuê một cái máy chủ xịn xò bảo mật nhiều lớp, họ xài ké Github Pages của một cá nhân. Ảo ma Canada thực sự!

Giang cư mận combat: "Bảo mật cái đ*o gì thế này?"

Dân tình Reddit thì khỏi nói, đang tế sống đội ngũ dev của con app này. Có mấy luồng dư luận chính thế này:

• Sốc văn hóa, hoang mang tột độ: Một app của chính phủ lại đi load code từ Github của một người lạ? "Cái đ*o gì đang xảy ra vậy?" - một user thốt lên. Nhiều ông còn xúi anh bạn lonelycpp kia làm quả prank đi vào lịch sử.
• Cà khịa cực mạnh: Một số pháp sư thì mỉa mai rằng app Nhà Trắng giờ chả khác gì cái trình duyệt rác, "Thế là tôi phải vào app Nhà Trắng để đọc tin Bloomberg à?".
• Thuyết âm mưu - Malware trá hình: Nhiều đạo hữu khó tính thì phán thẳng: Đây đ*o phải app bình thường nữa, nó là malware (phần mềm độc hại) trá hình. Mà kể cả bây giờ nó chưa phải malware, thì với cái kiểu code hở sườn thế này, sớm muộn gì cũng thành cái ổ cho hacker. "Phần mềm bảo mật kém thì chả khác mẹ gì malware cả".
• Câu hỏi hiện sinh: Cuối cùng, một bộ phận anh em ngáo ngơ đặt câu hỏi: "Thế quái nào lại có người đi cài cái app này? Nó sinh ra để làm cái gì ngoài việc cắn RAM và soi mói người dùng?"

Chốt hạ: Bài học sinh tồn sau vụ này

Các ông thấy đấy, dev chính phủ Mỹ đôi khi làm ăn cũng bát nháo và "lùa gà" chả kém gì mấy anh em outsource chạy deadline đêm khuya.

Qua vụ này, ae rút ra được cái gì?

1. Đừng bao giờ trust 100% external resources, đặc biệt là load thẳng vào WebView. Các ông muốn load external thì làm ơn implement Subresource Integrity (SRI) hoặc pinning giùm tôi cái.
2. Làm app lớn, nhất là app mang mác tổ chức to bự, thì bỏ tiền ra mà host file tĩnh cho đàng hoàng. Tiếc vài đồng xài ké Github Pages cá nhân đến lúc bể chuyện, bị chèn mã độc thì chỉ có nước xách rớt xuống đất mà viết đơn nghỉ việc.

Anh em nào rảnh thì tải về decompile thử xem có học mót được "best practice" nào không nhé. Chào thân ái và quyết thắng!

Nguồn: Reddit - I Decompiled the White House's New App