Nổi lên từ năm 2020, ứng dụng Pi đang có rất nhiều người dùng tại Việt Nam. Phần lớn những người ủng hộ Pi tin rằng chỉ dành ra vài phút mỗi ngày để "đào" Pi trên điện thoại, họ có cơ hội sở hữu khối tài sản lớn sau này nếu đồng Pi lưu hành và tăng giá.
Tuy nhiên, một nhóm nghiên cứu bảo mật mới đây đã chỉ ra lỗ hổng mà họ gọi là "gót chân Achilles" của ứng dụng Pi: đó là thu thập dữ liệu người dùng, gửi lên máy chủ nhưng quản lý không tốt.
Tính năng Mời của ứng dụng Pi yêu cầu quyền truy cập danh bạ điện thoại để mời những người có trong danh bạ. Ảnh: TA. |
Trong bài viết đăng tải sáng 18/5, hai nhà nghiên cứu bảo mật là manhnho và Cu64 của dự án Chống lừa đảo đã phân tích ứng dụng Pi Network phiên bản 1.30.3 trên hệ điều hành Android, được tải về từ Play Store.
Ứng dụng Pi có một tính năng gọi là Nhóm khai thác. Trong mục này, người dùng có thể mời bạn bè mình sử dụng Pi. Nếu chọn tính năng Mời, ứng dụng sẽ yêu cầu quyền truy cập danh bạ trên điện thoại.
Theo nhóm nghiên cứu, sau khi bấm đồng ý, ứng dụng Pi sẽ gửi danh bạ trong máy lên máy chủ. Sau đó, mỗi lần truy cập mục Nhóm khai thác, ứng dụng lại gửi một bản cập nhật của danh bạ.
Tuy nhiên, vấn đề nằm ở hệ thống quản lý dữ liệu của người dùng. Khi người dùng lựa chọn xóa tài khoản Pi, đúng ra các dữ liệu liên quan đến họ, bao gồm cả danh bạ, cũng phải được xóa đi trên máy chủ. Dù vậy, nhóm nghiên cứu cho thấy họ có thể khôi phục dữ liệu này.
Bằng cách lấy token xác thực của ứng dụng và gửi yêu cầu lên máy chủ, hai nhà nghiên cứu đã lấy lại được toàn bộ danh bạ mà ứng dụng Pi đã tải lên, ngay cả khi họ đã thực hiện yêu cầu xóa tài khoản của mình.
"Sau khi đã xóa tài khoản của mình, chúng tôi thử gửi yêu cầu vài lần. Qua những lần báo lỗi 401, máy chủ đã gửi lại dữ liệu cho chúng tôi. Đó là những dữ liệu đáng ra đã phải bị xóa hết đi", nhóm nghiên cứu Chống lừa đảo cho biết.
"Việc không tôn trọng quyền riêng tư của người dùng là vấn đề rất đáng quan tâm, đặc biệt trong bối cảnh nếu dữ liệu trên không được sử dụng vào đúng mục đích, sẽ gây rất nhiều vấn đề rắc rối cho người dùng. Hiện nay, chúng tôi vẫn chưa biết được họ dùng dữ liệu danh bạ của người dùng vào việc gì, có bán đi hay không. Hành vi của họ mơ hồ và rất cần cảnh giác", đại diện nhóm Chống lừa đảo chia sẻ với Zing.
Dù đã xóa tài khoản, nhóm nghiên cứu vẫn có thể lấy lại dữ liệu danh bạ điện thoại từ máy chủ ứng dụng Pi. Ảnh: Github. |
Trước đó, nhà nghiên cứu bảo mật Ryan Montgomery đã nêu vấn đề tương tự đối với ứng dụng trên iOS từ tháng 4. Montgomery đã nhắc tới nhóm phát triển ứng dụng Pi trên Twitter nhưng không nhận được câu trả lời.
"Chúng ta nên nhờ tới Apple thôi", nhà nghiên cứu bảo mật này nhận xét.
Vào tháng 2, nhiều chuyên gia về tiền mã hóa và blockchain đã lên tiếng về những biểu hiện đáng nghi của ứng dụng Pi Network. Tuy tuyên bố đây là ứng dụng tiền mã hóa dựa trên blockchain, ứng dụng Pi thực chất chỉ là một trang đăng nhập điểm danh, hiển thị web view xem thông tin.
Bên cạnh đó, ứng dụng Pi hứa hẹn đưa vào hoạt động trên mạng chính thức (mainnet) cuối năm nay. Do vậy, nhiều người ủng hộ Pi cho rằng mọi chỉ trích phải chờ tới khi mainnet vận hành.
"Tôi vẫn bảo lưu quan điểm nhóm phát triển ứng dụng Pi cần minh bạch hơn nữa. Nếu không minh bạch về mã nguồn, có khả năng ứng dụng thực hiện những hành vi mà người dùng không biết đến, như có thể truy nhập và danh bạ người dùng và gửi về server ở nước ngoài", tiến sĩ Đặng Minh Tuấn, Trưởng Lab Blockchain thuộc Học viện Bưu chính Viễn thông chia sẻ với Zing.