Một ứng dụng mới được phát hành bởi chính phủ Hoa Kỳ đang gây ra làn sóng lo ngại sâu sắc trong cộng đồng công nghệ và người dùng về các tính năng theo dõi vị trí tiềm ẩn, lỗ hổng bảo mật nghiêm trọng và việc thu thập dữ liệu cá nhân một cách đáng ngờ.
Chính quyền Nhà Trắng đã chính thức ra mắt ứng dụng này vào thứ Sáu tuần trước, quảng bá đây là “đường dây trực tiếp đến Nhà Trắng” để người dùng nhận tin tức nóng hổi, xem các buổi phát trực tiếp và cập nhật “những đột phá chính sách” quan trọng. Tuy nhiên, đằng sau lớp vỏ tiện ích, những cảnh báo đỏ đã bắt đầu xuất hiện.
Cộng đồng mạng xã hội, đặc biệt là trên nền tảng X (trước đây là Twitter), đã đồng loạt bày tỏ sự e ngại về các quyền hạn mà ứng dụng này yêu cầu. Chúng bao gồm quyền truy cập vào vị trí thiết bị, bộ nhớ chia sẻ và hoạt động mạng – những yêu cầu mà nhiều người cho là vượt quá mức cần thiết. Dù những tuyên bố này chưa được xác minh độc lập, nhưng việc một ứng dụng chính phủ yêu cầu các thông tin nhạy cảm này đã làm dấy lên những nghi vấn lớn về mục đích thực sự.
Mặc dù nhiều ứng dụng thông thường vẫn yêu cầu quyền truy cập vị trí và có thể ghi lại dữ liệu người dùng, nhưng đối với một ứng dụng do chính phủ liên bang phát hành, những yêu cầu này lập tức kéo theo mối lo ngại về quyền riêng tư và giám sát công dân.
Trang cửa hàng Google Play của ứng dụng này tuyên bố rằng dữ liệu cá nhân như số điện thoại và địa chỉ email *có thể* được thu thập thông qua việc tải xuống và sử dụng. Trong khi đó, Apple App Store chỉ đơn giản hướng người dùng đến chính sách bảo mật của Nhà Trắng.
Chính sách bảo mật của ứng dụng Nhà Trắng tiết lộ rằng nó tự động lưu trữ thông tin về địa chỉ Giao thức Internet (IP) gốc và các thông tin cơ bản khác. Ngoài ra, nó cũng có thể lưu giữ tên và địa chỉ email của những người đăng ký, mặc dù những thông tin này không bắt buộc để sử dụng ứng dụng.
**Chuyên gia bảo mật xác nhận tính năng theo dõi GPS**
Một nhà phát triển phần mềm với tài khoản X là Thereallo, cùng với Adam – một kỹ sư bảo mật và kiến trúc sư cơ sở hạ tầng, đã công bố những phát hiện gây sốc. Họ tuyên bố đã xác định được các đoạn mã trong ứng dụng cho thấy khả năng truy cập GPS của thiết bị để theo dõi vị trí.
Dù tính năng này khá phổ biến trên nhiều ứng dụng, Adam nhấn mạnh rằng việc các dịch vụ theo dõi vị trí xuất hiện trong một phần mềm dường như không cần đến chúng là điều bất thường. “Không có bản đồ, không có tin tức địa phương, không có tính năng khoanh vùng địa lý, không có sự kiện gần bạn, không có dự báo thời tiết. Không có gì trong ứng dụng yêu cầu vị trí,” ông cảnh báo.
**Báo động về việc theo dõi GPS cứ sau vài phút**
Thereallo đưa ra một tuyên bố tương tự, khẳng định rằng ứng dụng bao gồm mã có thể cho phép theo dõi thiết bị cứ sau 4,5 phút khi ứng dụng đang hoạt động và 9,5 phút khi chạy ngầm. Tuy nhiên, thông tin này vẫn đang chờ xác minh độc lập.
Họ phát hiện ra rằng tính năng này vẫn yêu cầu cấp quyền nhưng cảnh báo rằng nó chỉ “cách một lần gọi là kích hoạt”, và rằng “cơ sở hạ tầng theo dõi đã sẵn sàng để hoạt động”. Đồng thời, Thereallo cũng cho biết ứng dụng đang thu thập các dữ liệu khác như tương tác thông báo, lượt nhấp vào tin nhắn trong ứng dụng và số điện thoại.
**Bảo mật có thể bị phá vỡ, chuyên gia cảnh báo**
Adam còn đi xa hơn khi nhận định rằng bảo mật của ứng dụng có thể đủ yếu để một người có kỹ năng kỹ thuật có thể chặn dữ liệu của nó hoặc thay đổi chức năng.
“Bất kỳ ai trên cùng một mạng Wi-Fi, ví dụ như ở quán cà phê, sân bay hoặc phòng họp quốc hội, đều có thể chặn lưu lượng API bằng một proxy. Bất kỳ ai có thiết bị đã jailbreak có thể kết nối và sửa đổi hành vi của ứng dụng trong thời gian chạy,” ông nói.
Ông nhấn mạnh: “Không có máy chủ nào bị dò xét. Không có lưu lượng mạng nào bị chặn. Không có DRM nào bị vượt qua. Không có công cụ nào yêu cầu jailbreak được sử dụng. Mọi thứ được mô tả ở đây đều có thể quan sát được bởi bất kỳ ai tải ứng dụng từ App Store và có một thiết bị đầu cuối.”
Tìm hiểu thêm: Hội đồng cố vấn của Trump thu hút đồng sáng lập Coinbase, các lãnh đạo công nghệ
Cointelegraph cam kết thực hiện báo chí độc lập, minh bạch. Bài viết này được sản xuất theo Chính sách Biên tập của Cointelegraph và nhằm mục đích cung cấp thông tin chính xác, kịp thời. Độc giả được khuyến khích tự xác minh thông tin một cách độc lập.
