Các ứng dụng Android đến từ Trung Quốc chứa nhiều ẩn hoạ với người dùng. Ảnh minh hoạ. Ảnh: Internet.

Phía sau những ứng dụng Android xuất xứ từ Trung Quốc là những mảng tối, được các nhà sản xuất khéo léo che đậy bằng những tính năng hấp dẫn, giao diện đẹp đẽ, và đặc biệt là bằng "chiêu" miễn phí.

Từ những đòi hỏi đáng ngờ...

Khi cài đặt bất cứ ứng dụng Android nào, từ những ứng dụng được tải hay mua từ PlayStore của Google đến những ứng dụng “ngoài luồng” được chia sẻ miễn phí nhan nhản trên mạng, người dùng luôn được hệ điều hành Android thông báo về quyền truy cập vào những vùng chức năng của điện thoại mà ứng dụng yêu cầu.

Phần lớn những ứng dụng Android Trung Quốc đều đòi hỏi nhiều quyền truy cập vào thiết bị của người dùng, từ những quyền cơ bản như kết nối mạng, nhận dữ liệu trên mạng, lưu trữ trên bộ nhớ điện thoại, đến những tính năng phần cứng như kiểm soát bộ rung, mở tắt Wi-Fi, Bluetooth, đổi hình nền, cho đến quyền đọc danh bạ, xác định vị trí người sử dụng.

Thoạt nhìn, những yêu cầu ấy là hợp lí, bởi những ứng dụng giao diện mặc định của các hãng sản xuất cũng yêu cầu những quyền tương tự. Nhưng với những hãng sản xuất điện thoại, việc đầu tư phát triển “ứng dụng giao diện” cũng là một khoản đầu tư cho sản phẩm, nhằm tạo ra sự riêng biệt cho sản phẩm của họ, qua đó tăng thế mạnh cạnh tranh cho sản phẩm.

Bên cạnh đó, phần lớn những “ứng dụng giao diện” của hãng thứ ba đến từ Trung Quốc đều phát hành miễn phí. Mặc dù vẫn có những phiên bản có phí và có những nội dung bên trong phải trả phí, nhưng phiên bản không thu phí vẫn cung cấp đầy đủ tính năng cho người sử dụng, cũng như phí sử dụng những phiên bản cao cấp cũng không quá đắt đỏ. Trong khi đó, phần lớn những phần mềm có tính năng tương tự, đến từ các nhà phát triển ở các quốc gia khác, ngay từ đầu đã không miễn phí.

Chúng ta hoàn toàn có thể đặt ra câu hỏi: Tại sao lại có những ứng dụng đòi hỏi quyền truy cập chẳng liên quan gì đến danh mục chức năng mà những ứng dụng đó “tự phân loại mình vào”?

Thử chọn một ví dụ: Go Keyboard, hỗ trợ nhiều gõ nhiều ngôn ngữ khác nhau trên điện thoại Android. Go Keyboard đòi quyền truy cập vào những vùng dữ liệu nhạy cảm như danh bạ, đọc từ điển (phục vụ tính năng gõ tắt, sửa lỗi chính tả), cùng một loạt quyền kéo theo - như toàn quyền kiểm soát kết nối mạng, ghi dữ liệu lên bộ nhớ máy,... Trong khi đó, những ứng dụng hỗ trợ chức năng gõ tiếng Việt khác, như GoTiengViet (của Tran Ki Nam) hay Bộ gõ Tiếng Việt trên ICS/JB (Age of Mobile) không hề đòi hỏi thêm bất cứ quyền truy cập nào khác - như không cần đến kết nối Internet hay lưu trữ lên bộ nhớ máy, ngoài việc yêu cầu kiểm soát bộ phận rung, truy cập vào danh bạ (để sửa danh bạ).

Ảnh
Những đòi hỏi vô lí của ứng dụng Android Trung Quốc (so với ứng dụng cùng tính năng do người Việt Nam phát triển).

Chuyện "đòi quyền khác nữa" tuy không quá xa lạ với phần mềm Android nói chung, thế nhưng với sự phổ biến của "hàng Android Tàu" và sự bất thường về chuyện miễn phí của những ứng dụng kiểu ấy khiến người ta không khỏi băn khoăn.

Không phải không có căn cứ, khi kết luận rằng những ứng dụng Trung Quốc đang “hợp thức hóa” việc xâm nhập vào điện thoại của người sử dụng, tập trung vào hệ điều hành nguồn mở Android - vốn rất kém trong chuyện bảo mật. Ở một khía cạnh nào đó, những ứng dụng Android Trung Quốc kiểu ấy như những “viên đạn bọc đường”, đi kèm với nguy cơ “mất tiền rước kẻ cắp vào nhà”.

... Đến những nguy cơ tiềm ẩn đối với người dùng

Khi được hỏi có cảm thấy bị đe dọa khi cài đặt những phần mềm đòi hỏi quá nhiều quyền truy cập vào các tính năng và vùng dữ liệu, không ít người sử dụng đều trả lời rằng... không quan tâm> Cũng có bạn tuy quan tâm nhưng cũng... tặc lưỡi cho qua, vì “trên điện thoại đâu có nhiều dữ liệu gì nhạy cảm”.

Thực tế, với khả năng truy cập vào danh bạ điện thoại, thông tin liên lạc được lưu trong danh bạ (như số điện thoại, email) sẽ nhanh chóng được các ứng dụng thu thập và chuyển về máy chủ thông qua quyền kiểm soát kết nối mạng đầy đủ mà người sử dụng trao cho những ứng dụng ấy khi cài đặt. Tệ hại hơn, bàn phím với khả năng kết nối mạng đầy đủ và có quyền lưu trữ trên bộ nhớ máy hoàn toàn có thể đóng vai trò một dạng keylog để đánh cắp mật khẩu của người sử dụng. Và cũng với quyền kết nối mạng đầy đủ, ứng dụng SMS hoàn toàn có khả năng sao chép và gửi toàn bộ nội dung tin nhắn đến cho kẻ xấu.

Hiện tại, phần lớn người sử dụng tài khoản ngân hàng có thực hiện giao dịch trực tuyến đều sử dụng phương thức xác nhận bằng OTP-SMS (tin nhắn chứa mật khẩu dùng một lần). Kết hợp các “tính năng” theo dõi và đánh cắp dữ liệu nêu trên, kẻ xấu hoàn toàn có thể thực hiện các giao dịch chuyển tiền trực tuyến của ngân hàng và lấy tiền mà người dùng điện thoại không hề hay biết, bởi chúng đã có thông tin, mật khẩu tài khoản ngân hàng của người sử dụng, cùng mã xác nhận giao dịch được gửi về điện thoại của người sử dụng.

Việc trao quyền gửi tin nhắn hay gọi điện thoại cho các ứng dụng đến từ hãng thứ ba cũng lộ ra một mối nguy cơ khác, khi những phần mềm ấy âm thầm thực hiện những cuộc điện thoại hay gửi hàng loạt tin nhắn mà người sử dụng không hề hay biết. Số điện thoại đích được gửi ở đây sẽ không chỉ là những tổng đài dịch vụ trực tuyến trong nước, mà là những số điện thoại hay số dịch vụ nước ngoài, với cước phí rất cao, nên đương nhiên người sử dụng sẽ chịu thiệt lớn. "Bên cạnh đó, những phần mềm có khả năng gọi điện thoại hay gửi tin nhắn có thể được sử dụng để làm nghẽn mạng viễn thông khi liên tục gửi tin nhắn hay thực hiện cuộc gọi." - ông Nguyễn Minh Đức, giám đốc bộ phận An ninh mạng, thuộc BKAV, lưu ý như vậy.

Thông tin, dữ liệu của người sử dụng cũng được “tận dụng” để thực hiện những phương thức lừa đảo khác. Sự kiện nhiều thuê bao ở Việt Nam bị lừa đảo cuộc gọi từ đầu số vệ tinh +881, +882 diễn ra vào tháng 11/2012, với hậu quả là nhiều người bị mất rất nhiều tiền, cũng có thể do sự "góp công" của những phần mềm với đòi hỏi vô lí như nêu trên.

Không thể kể hết những trường hợp ứng dụng Android thực hiện chức năng “một đường” nhưng đưa yêu sách truy cập tính năng và dữ liệu “một nẻo”. Tiếc là mặc dù vậy, vẫn còn khá ít người sử dụng ở Việt Nam lưu tâm đến nguy cơ ấy.

Và những nội dung hoàn toàn độc hại

Tạm gác lại những yếu tố kĩ thuật về quyền truy cập dữ liệu trên những điện thoại Android ở Việt Nam, chúng ta trở lại với một sự kiện nóng bỏng hồi đầu năm nay, khi người sử dụng phần mềm WeChat tại Việt Nam tố cáo rằng hãng phát triển phần mềm Tencent đã ngấm ngầm đưa bản đồ Trung Quốc có "đường lưỡi bò" phi pháp vào phần mềm của họ.

Cụ thể, người ta phát hiện rằng bản đồ Việt Nam của WeChat phiên bản tiếng Việt và tiếng Anh hoàn toàn không có hai quần đảo Hoàng Sa và Trường Sa thuộc Việt Nam. Trong khi đó, bản tiếng Hoa lại thể hiện rõ ràng hai quần đảo ấy thuộc về Trung Quốc, nằm trong “đường lưỡi bò” phi pháp.

Ngay lập tức, WeChat bị tẩy chay rầm rộ tại Việt Nam. Để đối phó, đại diện của Tencent đã gửi một bức thư... đổ lỗi cho các cơ quan truyền thông đã cáo buộc chưa chính xác về chuyện WeChat cố tình sử dụng bản đồ “đường lưỡi bò”. Thực tế cho thấy: dù một loạt phần mềm như WhatsApp, Viber, Kakao Talk, Line,... cũng buộc phải thêm “đường lưỡi bò” vào bản đồ của họ khi phát hành ở Trung Quốc, thế nhưng bản đồ trên sản phẩm quốc tế của các hãng này lại không hề có “đường lưỡi bò”.

Thêm nữa, liệu có thể tin vào sự nguỵ biện của Tencent, trong khi WeChat còn ngang nhiên “tẩy xóa” hai quần đảo Hoàng Sa và Trường Sa ra khỏi bản đồ của phiên bản tiếng Việt cùng các phiên bản quốc tế?

Ảnh
Ứng dụng WeChat (Weixin) hiển thị bản đồ có "đường lưỡi bò" rất rõ ràng.
Ảnh
Ứng dụng WeChat quốc tế ngang nhiên “tẩy xóa” hai quần đảo Hoàng Sa, Trường Sa của Việt Nam.

Trên thực tế, nội dung ứng dụng tại Trung Quốc được cơ quan chính quyền nước họ kiểm soát cực kì chặt chẽ. Bất cứ hãng cung cấp phần mềm nào cũng phải đưa nội dung làm “mát mặt” các quan chức văn hóa Trung Quốc thì mới lưu hành được sản phẩm trên nước ấy. Apple hay Google cũng không phải là ngoại lệ, và những công ty nội địa như Tencent, Baidu lại càng phải tuân theo.

Ảnh
Phiên bản Google Trung Quốc bị buộc sử dụng dữ liệu của AutoNavi, có “đường lưỡi bò” phi pháp.

Bản thân WeChat còn vướng vào một nghi ngờ khác: Liệu WeChat có theo dõi người sử dụng?

Mỹ và châu Âu đang nhìn WeChat với con mắt đầy nghi ngờ, còn chính quyền Đài Loan buộc phải theo dõi rất sát sao hoạt động của WeChat. Báo Guardian của Anh thì cáo buộc rõ ràng: “WeChat giúp chính phủ Trung Quốc theo dõi người dùng và kiểm duyệt thông tin trên phạm vi toàn cầu bằng cách lọc các từ khóa cấm”.

Tương tự như những cuốn sách giáo khoa dành cho trẻ em Việt Nam lại in cờ Trung Quốc vừa bị dư luận phát hiện và lên án, hay những quả địa cầu có “đường lưỡi bò”, những ứng dụng Android Trung Quốc hoàn toàn có thể đảm nhiệm vai trò phát hành “bản đồ đường lưỡi bò”, tuyên truyền về “đường lưỡi bò” phi pháp lên các thiết bị số.

Bóng đen của ứng dụng Android Trung Quốc đang song hành với những bóng đen khác - hệ điều hành Android do Trung Quốc phát triển, cùng những thiết bị Android Trung Quốc!

Ứng dụng Android Trung Quốc “qua mặt” Google Play Store ra sao?

Google vẫn phần nào loại bỏ những ứng dụng độc hại trên cửa hàng ứng dụng của mình, cho dù không kiểm soát gắt gao bằng Apple đối với các ứng dụng trên AppStore, hay ở những cửa hàng của Windows Phone, BlackBerry. Điểm yếu "chết người" của Android nằm ở chỗ cho phép người dùng cài đặt trực tiếp từ tập tin .apk ở những nguồn không chính thống, tạo điều kiện cho các phần mềm độc hại dễ dàng xâm nhập vào điện thoại của người dùng.

Trong một thống kê công bố vào tháng 3/2012, với 50 tên tuổi phát triển Android tại Trung Quốc, TechinaAsia.com cho biết chỉ có 44 công ty/nhóm lập trình có “gian hàng” trên PlayStore. Tuy vậy, cả 50 tên tuổi ấy đều cung cấp ứng dụng “.APK” trên trang chủ của họ.

Liệu việc cung cấp ứng dụng trực tiếp như vậy chỉ dừng lại ở việc tạo thuận lợi cho người dùng tải ứng dụng về, hay để “né” việc Google kiểm duyệt mã độc trong ứng dụng đưa lên PlayStore?

Dĩ nhiên, Google đang bị qua mặt một cách nhẹ nhàng, bởi chính “sự mở” mà họ dành cho Android. Từ đó, tất nhiên người dùng Android sẽ luôn phải đối mặt với nguy cơ về bảo mật trên thiết bị di động của mình.

Theo Vietnamnet




Bình luận

  • TTCN (0)