Nguy cơ lộ danh bạ khi dùng Pi Network – Công Nghệ Số hóa

--
Web Techviewz có bài: Nguy cơ lộ danh bạ khi dùng Pi Network – Công Nghệ Số hóa Ứng dụng Pi Network bị phát hiện tải danh bạ người dùng lên máy chủ và không xóa hết ngay cả khi người dùng xóa tài khoản. – Công Nghệ

Việc tải danh bạ người dùng lên máy chủ mới đầu được phát giác bởi nhà nghiên cứu Ryan M. Montgomery với phiên bản Pi Network dành riêng cho iOS. Mới đây, hai nhà nghiên cứu bảo mật Phạm Tiến Mạnh và Dương Tiểu Đồng đến từ nhóm Chống lừa đảo của Việt Nam phân tích phiên bản Pi Network trên Android và cũng phát giác vấn đề tương tự. Thậm chí ở phát hiện mới, Pi Network còn lưu giữ danh bạ ngay cả những lúc người dùng hủy tài khoản.

Phiên bản mà hai nhà nghiên cứu sử dụng là Pi Network 1.30.3 được cập nhật ngày 4/3 – mới nhất trên Android. Sau khi khởi động, app truy cập một số dữ liệu trên máy, gồm tên thiết bị, loại kết nối, bộ nhớ trống.

Trên phần mềm Pi Network có độ năng “Nhóm khai thác”. Người dùng Pi được khuyến khích khai thác theo nhóm để tăng vận tốc nhận Pi, cũng như tạo “Vòng tròn bảo mật”. Để mời người khác vào nhóm, người sử dụng có thể chọn lựa như gửi qua Facebook hoặc mời bạn bè trên danh bạ.

Nguy cơ lộ danh bạ khi dùng Pi Network - Công Nghệ Số hóa

Pi Network đòi hỏi truy cập danh bạ. Ảnh: Lưu Quý

Theo nghiên cứu của Mạnh và Đồng, ngay cả cấp quyền truy cập danh bạ lần đầu tiên, phần mềm sẽ tải toàn bộ danh bạ của người sử dụng lên máy chủ. Đồng thời, mỗi lần người dùng truy cập tính năng nhóm, Pi Network lại gửi một bản cập nhật của danh bạ lên.

Theo đánh giá của các nhà phát triển Android, việc cấp phép truy cập danh bạ là một trong các quyền tương đối cao, được xếp hạng “nguy hiểm” trên thang đo chừng độ an toàn của một ứng dụng. Ứng dụng chỉ có quyền làm vậy khi được phép của người dùng.

Tuy nhiên, vấn đề nguy hiểm hơn mà hai nhà nghiên cứu Việt Nam chỉ ra là cách quản lý dữ liệu của Pi Network “yếu kém”, dẫn đến danh bạ không bị mất trên máy chủ ngay cả những lúc người sử dụng hoàn thành phiên sử dụng hoặc thậm chí xóa tài khoản.

Thông thường khi người dùng đăng xuất, đổi mật khẩu, xóa tài khoản, token xác thực của người sử dụng cũng sẽ bị xóa hoặc vô hiệu hóa. Tuy nhiên trong thử nghiệm, token xác thực này vẫn hợp lệ và có thể dùng làm truy xuất dữ liệu. Ở trường hợp người dùng không thích sử dụng Pi Network và mong muốn xóa toàn bộ tài khoản cũng như dữ liệu, Pi Network chỉ xóa số đồng tiền Pi trong tài khoản còn vẫn giữ lại danh bạ.

“Chúng tôi thử gửi yêu cầu truy xuất danh bạ sau khi đã xóa tài khoản. Sau một số lần báo lỗi 401, máy server đã gửi lại dữ liệu này. Đây là một lỗi bảo mật cơ bản, minh chứng nhà phát triển chưa đầu tư nhiều về bảo mật”, Phạm Tiến Mạnh nhận định.

Nguy cơ lộ danh bạ khi dùng Pi Network - Công Nghệ Số hóa

Pi Network thông báo người dùng sẽ mất toàn bộ Pi nếu xóa tài khoản, khi đang danh bạ của người dùng vẫn có thể truy xuất. Ảnh: Cu64.

Trong trả lời với nhà nghiên cứu bảo mật Ryan M. Montgomery hồi tháng 4, đội phát triển Pi giải thích việc tải danh bạ người sử dụng lên máy chủ là để “giúp người dùng tìm danh bạ để đưa vào vòng tròn bảo mật”. Theo các chuyên gia bảo mật tới từ nhóm Chống lừa đảo, việc ứng dụng lấy thông tin danh bạ của người sử dụng đẩy lên máy server tiềm ẩn nguy cơ mất tin tức không những của những người sử dụng, mà của cả người thân, bạn bè trong danh bạ cũng bị ảnh hưởng gián tiếp.

Pi Network là nền tảng tiền ảo xuất hiện từ năm 2019, rộ lên tại Việt Nam đầu năm 2021. Sau khi tải phần mềm lên smartphone, người sử dụng sẽ có tặng các đồng Pi với điều kiện cần vào điểm danh mỗi ngày. Nhiều người Việt Nam tham gia phần mềm này với suy nghĩ “không mất gì mà vẫn có tiền” nếu sau này đồng Pi có mức giá trị. Hiện nay, giá của đồng Pi vẫn bằng 0 do chưa thể thực hành giao dịch. Nền tảng này cũng bị nhiều chuyên gia bảo mật đánh giá là thiếu minh bạch, do không ban bố mã nguồn.

Mới đây, Pi cũng bị nhắc tên trong vụ việc hàng nghìn chứng minh nhân dân của người Việt bị rao bán. Nhưng các nhà phát triển Pi phủ nhận bởi Pi chỉ dùng hộ chiếu để xác thực tin tức người dùng.

Lưu Quý

Pi Network, Dữ liệu người dùng, Bảo mật, Ghi nhận, Tin nóng

Nội dung Nguy cơ lộ danh bạ khi dùng Pi Network – Công Nghệ Số hóa được tổng hợp sưu tầm biên tập bởi: techviewz.org. Mọi ý kiến vui lòng gửi Liên Hệ cho techviewz.org để điều chỉnh. techviewz.org tks.

Bài Viết Liên Quan


Bài Viết Khác

--