Hiện tại, trên Facebook hay Instagram đang tràn ngập những hình ảnh các nhân vật cổ trang của Trung Quốc với khuôn mặt người dùng. Đó là sản phẩm từ phần mềm Pitu do công ty Tencent (Trung Quốc) phát hành, cho phép người dùng hóa thân thành những nhân vật trong phim cổ trang.
Với những hình ảnh lung linh, bắt mắt sau khi được chỉnh sửa, ứng dụng miễn phí này nhanh chóng được nhiều người dùng tải về và trải nghiệm.
Tuy nhiên, theo cảnh báo của các chuyên gia bảo mật, người dùng nên thận trọng khi cài Pitu bởi ứng dụng không chỉ yêu cầu cung cấp một số quyền ưu tiên mà còn lén lút thu thập các dữ liệu nhạy cảm từ người dùng.
Các quyền ứng dụng được yêu cầu khi cài đặt Pitu trên thiết bị. |
Theo kết quả phân tích sơ bộ tập tin cài đặt Pitu của các chuyên gia bảo mật công bố trên trang whitehat.vn, ứng dụng này yêu cầu một số quyền truy cập thông tin trên thiết bị di động của người dùng vốn không cần thiết cho tính năng của ứng dụng như:
- Quyền mở một kết nối Bluetooth đến một thiết bị khác
- Quyền tự động mở một kết nối Wi-Fi
- Quyền tạo và truy cập Internet
- Quyền truy cập vào việc định vị vị trí của thiết bị (GPS)
- Quyền đọc thông tin của thiết bị (ID, các ứng dụng, IMEI, số điện thoại, các cuộc gọi…)
- Quyền kiểm tra các ứng dụng, chương trình đang chạy trên thiết bị
- Quyền đọc và ghi vào bộ nhớ thiết bị, thay đổi cấu hình và dữ liệu của thiết bị
- Quyền ghi lại các cuộc hội thoại
Đáng chú ý là Pitu liên tục kết nối và gửi dữ liệu tới địa chỉ IP của các server đặt tại Trung Quốc như http://log.tbs.qq.com hay https://qpiksvr.xiangji.qq.com. Ngoài ra, ứng dụng còn tự động tải về tập tin tbs_res_imtt_tbs_release_tbs_core_3.0.0.1049_04302 4_20170120_170945.tbs từ server http://103.7.29.178/soft.tbs.imtt.qq.com/.
Theo nhận định của các chuyên gia, mặc dù tập tin tự động được tải về hiện chỉ thực hiện nhiệm vụ kiểm tra. Tuy nhiên, tính năng tự động tải tập tin lạ của Pitu có thể sẽ gây hại cho thiết bị di động của người dùng khi tự động tải và chạy các tập tin độc hại.