Không có bất kì bằng chứng nào cho thấy PC-COVID thu thập thông tin cá nhân người dùng

An toàn thông tin - Ngày đăng : 14:52, 07/10/2021

Theo đại diện Bộ Tư lệnh tác chiến không gian mạng (Bộ Quốc phòng), quá trình kiểm tra phần mềm đóng gói cũng như mã nguồn của ứng dụng PC-COVID cho thấy, không có bất kì bằng chứng nào, kể cả các dòng lệnh hay module, khẳng định việc PC-COVID thu thập thông tin cá nhân của người dùng.

Đây là kết quả sau buổi làm việc giữa Trung tâm Công nghệ phòng, chống dịch COVID-19 quốc gia, Cục ATTT (Bộ TT&TT) với Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an), Bộ Tư lệnh Tác chiến không gian mạng (Bộ Quốc phòng), Hiệp hội An toàn thông tin Việt Nam (VNISA) khi tham gia kiểm tra, đánh giá về các quyền mã nguồn của ứng dụng PC-COVID. Các bên tham gia đánh giá mã nguồn đều thống nhất chưa phát hiện ứng dụng PC-COVID thu thập các thông tin của người dùng ngoài phạm vi thực hiện các chức năng đã được mô tả.

Phù hợp với yêu cầu cho việc phòng, chống dịch hiện nay

Chia sẻ tại buổi tọa đàm về các quyền PC-COVID yêu cầu người dùng cấp khi sử dụng do Trung tâm Công nghệ phòng chống dịch COVID-19 quốc gia (Trung tâm) tổ chức ngày 7/10, theo ông Nguyễn Trọng Thái, Trưởng phòng ATTT (Bộ Tư lệnh Tác chiến không gian mạng - Bộ Tư lệnh 86), sau khi nhận yêu cầu từ phía cơ quan quản lý, Bộ Tư lệnh 86 đã cử những cán bộ có chuyên môn cao, có kinh nghiệm để thực hiện việc kiểm tra ứng dụng PC-COVID một cách bài bản nhất.

"Chúng tôi đã phối hợp với nhà phát triển kiểm tra phần mềm đóng gói cài đặt được đưa lên 2 kho tải ứng dụng cũng như mã nguồn của ứng dụng. Việc này được thực hiện thông qua các công cụ tự động tốt của thế giới cũng như kỹ năng tay nghề của các cán bộ Bộ Tư lệnh 86, nhằm kiểm tra từng dòng lệnh của nền tảng PC-COVID", ông Thái nhấn mạnh.

Sau khi kiểm tra, Bộ Tư lệnh Tác chiến chiến không gian mạng thấy rằng, việc ứng dụng công nghệ vào phòng chống dịch COVID-19 là điều rất quan trọng. Những tính năng của PC-COVID phù hợp với yêu cầu và sẽ hỗ trợ đắc lực cho công cuộc phòng, chống dịch hiện nay. Nếu bỏ đi bất kì tính năng nào của ứng dụng thì bức tranh phòng chống dịch hiện nay sẽ không thể đạt hiệu quả được. Bên cạnh đó, những quyền mà nền tảng PC-COVID yêu cầu cũng tương tự các ứng dụng khác như Zalo, Viber.

"Qua quá trình kiểm tra, chúng tôi không nhận thấy bất kì bằng chứng nào, kể cả dòng lệnh hay module nào khẳng định việc PC-COVID thu thập thông tin cá nhân của người dùng. Do đó, có thể thấy phần mềm này yên tâm về mặt an toàn, an ninh thông tin. Thậm chí, ngay cả bản thân tôi cũng đang sử dụng ứng dụng PC-COVID", ông Thái khẳng định.

Không có bất kì bằng chứng nào cho thấy PC-COVID thu thập thông tin cá nhân của người dùng - Ảnh 1.

Ông Nguyễn Trọng Thái: Việc kiểm tra này của Bộ Tư lệnh Tác chiến không gian mạng và các cơ quan chức năng khác sẽ giúp người dân xóa bỏ những nghi ngờ, băn khoăn về thông tin cá nhân khi sử dụng phần mềm PC-COVID.

Còn về cảnh báo trên hệ điều hành Android về ứng dụng PC-COVID, ông Thái cho rằng, mỗi hệ điều hành sẽ có một cách "cư xử", cảnh báo riêng để cảnh báo cho người dùng. Ví dụ một người qua cổng sẽ có cảnh báo là người này có thể vào lấy đồ vật của gia chủ, nhưng sự thực là họ chỉ đến gặp để bàn công việc rồi ra về. "Cơ quan chức năng đã vào cuộc để kiểm tra và có biên bản đánh giá rõ ràng nên người dùng có thể hoàn toàn yên tâm", ông Thái chia sẻ thêm.

Các quyền truy cập của ứng dụng PC-COVID hoàn toàn phục vụ cho việc chống dịch và cơ quan quản lý cũng đã có thông báo rõ về các quyền này, như camera để quét mã QR hay bluetooth để truy vết tiếp xúc gần, đưa người đó đi cách ly, còn những người khác vẫn sinh hoạt bình thường. "Đây là một tính năng rất hay, mang tính kỹ thuật và đứng từ gốc độ cơ quan quản lý, tôi cho rằng nó rất tốt cho việc phòng chống dịch hiện nay", ông Thái kết luận.

Từ đó, ông Thái hy vọng việc kiểm tra này của Bộ Tư lệnh Tác chiến không gian mạng và các cơ quan chức năng khác sẽ giúp người dân xóa bỏ những nghi ngờ, băn khoăn về thông tin cá nhân khi sử dụng phần mềm PC-COVID.

Tuyệt đối không khai thác thông tin liên quan đến SMS, OTT của người dùng

Cũng tại buổi tọa đàm, theo đại diện Cục ATTT, trong cơ chế kiểm soát các quyền của hệ điều hành, các quyền này thường được tổ chức và cấp thành các cụm quyền. Ví dụ PC-COVID chỉ cần quyền truy cập ảnh để lưu mã QR (một tiện ích cho người dân trong quá trình sử dụng) nhưng khi đó hệ điều hành sẽ có những cảnh báo đến người dùng về việc sử dụng cả cụm quyền liên quan đến "ảnh, âm thanh, video và tệp".

Chưa kể mỗi hệ điều hành sẽ có các thông điệp cảnh báo khác nhau, có thể chỉ nêu ngắn gọn các quyền đang được yêu cầu hoặc cũng có thể cảnh báo cụ thể kèm minh họa một số nguy cơ có thể xảy ra.

Bên cạnh đó, tất cả các quyền mà mỗi ứng dụng xin được cấp đều sẽ được hệ điều hành thông báo rõ trước khi người dùng xác nhận, đồng thời đều được Google và Apple kiểm duyệt trước khi cho phát hành trên App Store và Google Play.

Cụ thể, các quyền PC-COVID cần được người dùng cho phép đều phục vụ cho công tác phòng chống dịch COVID-19. Đầu tiên là quyền sử dụng bluetooth. PC-COVID ghi nhận tiếp xúc gần bằng công nghệ bluetooth năng lượng thấp (BLE) và cần được cấp quyền này để có thể thực hiện chức năng nói trên. Người dùng có thể lựa chọn có hoặc không sử dụng chức năng ghi nhận tiếp xúc gần. Trong trường hợp người dùng không sử dụng chức năng ghi nhận tiếp xúc gần, PC-COVID sẽ không hỏi và không cần được cấp quyền này.

Tuy nhiên, trên hệ điều hành Android, quyền sử dụng bluetooth gắn liền với quyền truy cập vị trí thành một cụm quyền. Cụ thể, theo chính sách của Google, để ghi nhận tiếp xúc gần bằng công nghệ bluetooth năng lượng thấp, ngoài việc bật bluetooth cần quyền truy cập vị trí trên điện thoại.

Còn trên hệ điều hành iOS, quyền sử dụng bluetooth không gắn liền với quyền truy cập vị trí. Tuy nhiên, để tối ưu chức năng ghi nhận tiếp xúc gần, PC-COVID vẫn cần được cấp quyền truy cập vị trí. Theo chính sách của Apple, để ứng dụng hoạt động liên tục và quét tiếp xúc gần hiệu quả bằng việc hỗ trợ iBeacon, ứng dụng cần được cấp quyền truy cập vị trí trên điện thoại.

Không có bất kì bằng chứng nào cho thấy PC-COVID thu thập thông tin cá nhân của người dùng - Ảnh 2.

Quang cảnh buổi tọa đàm về các quyền PC-COVID yêu cầu người dùng cần cấp khi sử dụng do Trung tâm Công nghệ phòng chống dịch COVID-19 quốc gia tổ chức ngày 7/10.

Ngoài ra, ở phiên bản 4.0.3 trở về trước PC-COVID cung cấp chức năng để người dùng có thể gửi các phản ánh và hỗ trợ người dùng sử dụng lựa chọn vị trí hiện tại bằng cách khai thác quyền truy cập vị trí. Mục đích là để ý kiến phản ánh đó được gửi đến đúng cơ quan chức năng theo địa bàn quản lý (các xã, phường, thị trấn). Tuy nhiên, ở phiên bản 4.0.4, chức năng này đã được loại ra khỏi PC-COVID để tránh những hiểu nhầm có thể xảy ra.

Còn đối với quyền truy cập thông báo trên điện thoại cài hệ điều hành Android. Lý giải việc tại sao PC-COVID cần xin quyền này, đại diện Cục ATTT cho biết, do trên hệ điều hành Android nói chung, các ứng dụng có thể bị dừng hoạt động vì nhiều lý do, trong PC-COVID cũng không ngoại lệ. "Để khắc phục vấn đề này, trên phiên bản Android, PC-COVID cần được cấp quyền truy cập thông báo. Nếu được người dùng chấp thuận, khi PC-COVID dừng hoạt động, hệ điều hành Android sẽ ngay lập tức lại gọi ứng dụng hoạt động trở lại", đại diện Cục ATTT cho biết.

Tuy nhiên, người dùng có thể lựa chọn có hoặc không cấp quyền này nhưng khi đó ứng dụng sẽ giảm tính ổn định khi sử dụng.

Mặc dù vậy, trên hệ điều hành Android, quyền truy cập thông báo nếu được cấp, ứng dụng có thể truy cập nội dung của các thông báo trên điện thoại, bao gồm tin nhắn SMS, tin nhắn OTT. Điều này đã dẫn đến việc một số phiên bản hệ điều hành sẽ gửi đến người dùng kèm theo các cảnh báo về những nguy cơ khi cho ứng dụng khai thác quyền này.

Điều này đã khiến một số người lo lắng, khi mà một số ứng dụng xấu độc có thể khai thác ngầm các dữ liệu, thông tin nhạy cảm trong SMS, OTT của người dùng một cách phi pháp. "PC-COVID là ứng dụng của cơ quan nhà nước, tuân thủ các quy định của pháp luật và tuyệt đối không khai thác thông tin SMS, OTT của người dùng", đại diện Cục ATTT khẳng định.

Còn với quyền sử dụng camera, PC-COVID cần quyền truy cập này trên điện thoại để thực hiện chức năng quét mã QR và chức năng gửi phản ánh kèm theo video/hình ảnh.

Quyền cuối cùng mà ứng dụng PC-COVID cần người dùng cấp quyền là truy cập ảnh, video, âm thanh và tệp. Việc này là để ứng dụng có thể lưu mã QR cá nhân trên PC-COVID về bộ nhớ điện thoại dưới dạng một tấm ảnh. Mục đích của việc cho phép lưu ảnh QR cá nhân là để người dùng có thể in ra giấy và mang theo cho bản thân hoặc cho người được khai hộ; có thể xuất trình ảnh ngay cả khi không sử dụng PC-COVID hoặc không có kết nối mạng Internet.

Cuối cùng, theo đại diện Cục ATTT, tất cả các quyền mà PC-COVID cần được cấp và sử dụng được kiểm soát chặt chẽ thông qua 4 cơ chế: Kiểm soát bởi hệ điều hành và phải được sự đồng ý của người dùng; Kiểm soát bởi chợ ứng dụng (Apple Store và CH Play), nhất là những ứng dụng có hàng chục triệu người dùng như PC-COVID, sẽ bị kiểm soát rất chặt chẽ về quyền và sử dụng quyền để đảm bảo dữ liệu cá nhân của người dùng không bị xâm phạm (kiểm tra kỹ lưỡng từng đoạn mã, từng giao diện, từng hàm chức năng); Kiểm soát bởi đội ngũ phát triển ứng dụng của Trung tâm Công nghệ phòng, chống dịch COVID-19 quốc gia; Kiểm soát bởi các cơ quan chức năng có thẩm quyền.

Trong quá trình phát triển ứng dụng, PC-COVID luôn có được sự quan tâm, đồng hành và tham gia kiểm soát về an toàn, bảo mật thông tin nói chung, kiểm soát về quyền và việc sử dụng quyền nói riêng của các cơ quan chức năng có thẩm quyền, bao gồm Cục ATTT, Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Tư lệnh Tác chiến không gian mạng, Hiệp hội An toàn thông tin Việt Nam và của đông đảo các chuyên gia về an toàn, an ninh mạng Việt Nam./.

Thế Phương