Pi Network lấy danh bạ điện thoại gửi về máy chủ

17:01, 19/05/2021

Quyền truy cập danh bạ trên điện thoại người dùng được Pi Network yêu cầu khi cài đặt ứng dụng, tuy nhiên phần mềm này quản lý nguồn tài nguyên đó rất lỏng lẻo.

Toàn bộ danh bạ sẽ được gửi về máy chủ của Pi và quản lý thiếu an toàn.

Pi Network có mặt ở Việt Nam từ khoảng năm 2019 nhưng mãi tới đầu năm 2021 mới nổi lên. Ứng dụng này hiện là tâm điểm của những tranh cãi liên quan tới vụ rò rỉ dữ liệu khoảng 10.000 người dùng Việt Nam gần đây khi hacker tung tin thu thập data từ đây. Đã có nhiều chuyên gia khẳng định đó chỉ là biện pháp đánh lạc hướng bởi Pi Network không thu thập dữ liệu KYC của người dùng.

Tuy nhiên, mới đây một nhóm nghiên cứu bảo mật lại phát hiện ra vấn đề khác của nền tảng này: Pi Network thu thập dữ liệu từ danh bạ trên smartphone, gửi về máy chủ nhưng lại quản lý rất lỏng lẻo tài nguyên đã lấy. Dữ liệu có thể được tải về bằng thủ thuật đơn giản. Đáng chú ý hơn, dù hủy tài khoản, danh bạ của người dùng vẫn còn lại trên máy chủ của Pi.

Cụ thể, hai nhà nghiên cứu bảo mật của dự án Chống lừa đảo đã phân tích Pi Network phiên bản 1.30.3 được tải về Play Store trên hệ điều hành Android - nguồn ứng dụng chính quy được Google kiểm duyệt nghiêm ngặt trước khi cấp phép phát hành. Trong Pi Network có tính năng “Nhóm khai thác” mà ở đó người dùng có thể mời bạn bè sử dụng Pi. Để mời được bạn bè, phần mềm cần người dùng cấp quyền truy cập danh bạ điện thoại.

Khi được đồng ý, nền tảng này sẽ gửi danh bạ về máy chủ và cập nhật mỗi lần khi người dùng truy cập vào Nhóm khai thác. Hai nhà nghiên cứu trong nhóm đã lấy token xác thực và gửi yêu cầu lên máy chủ, tải thành công toàn bộ danh bạ mà ứng dụng đã tải lên. Việc này thực hiện được cả khi họ đã yêu cầu xóa tài khoản của mình.

Vấn đề tương tự từng được một nhà nghiên cứu tên Ryan Montogomery phản ánh ở phiên bản dành cho hệ điều hành iOS hồi tháng trước. Tuy nhiên phía nhà phát hành không phản hồi lại phát hiện của Ryan.

Hồi đầu năm nay, các chuyên gia đã phân tích và nhận thấy ứng dụng Pi Network vận hành tương tự phiên bản website và chỉ tìm ra tính năng hiển thị quảng cáo. Điều này có thấy Pi có thể từng kiếm tiền từ việc quảng cáo, hoặc có kế hoạch bật kiếm tiền thông qua quảng cáo trong tương lai.

Pi Network hiện tại là nền tảng đăng nhập để điểm danh, hiển thị web view xem thông tin và các tính năng trên ứng dụng chỉ là thao tác trên giao diện web. Điều này không phù hợp với tuyên bố “đào coin trên smartphone” như website hãng đăng tải. Pi cũng yêu cầu khá nhiều thứ trên smartphone như ID thiết bị (dùng để nhận biết máy nào sử dụng), quyền truy cập kho lưu trữ, kể cả Draw over other apps (quyền Lớp phủ màn hình có thể dùng để ăn cắp mật khẩu). Trong khi đó, một ứng dụng đào coin sẽ không cần tới các quyền này mà chỉ hướng tới quyền truy cập internet, sử dụng bộ nhớ… Đào coin cũng cần tới khả năng xử lý của CPU, điều không có trong Pi Network trên smartphone.

PV (T/h)