Ứng dụng trên smartphone mà các vận động viên tham gia Olympic sắp tới phải sử dụng tại Trung Quốc để thông báo dữ liệu đi lại và dữ liệu sức khỏe có một số lỗi bảo mật nghiêm trọng. Đây là kết quả của một báo cáo do Citizen Lab - một cơ quan nghiên cứu về bảo mật trực thuộc Đại học Toronto - thực hiện.
Ứng dụng mang tên MY2022 được thiết kế để hỗ trợ truy vết tiếp xúc trong trường hợp xảy ra lây nhiễm Covid-19 giữa các vận động viên Olympic. Nó là một phần của chiến lược “tách riêng” các vận động viên và người tham gia Olympic với phần lớn dân số Trung Quốc.
Báo cáo của Citizen Lab cho biết ứng dụng MY2022 không xác nhận một chữ ký mã hóa độc nhất với máy chủ khi truyền dữ liệu. Nói cách khác, hacker có thể có được dữ liệu này mà phía chính phủ Trung Quốc không hề hay biết. Một số cấu phần khác của ứng dụng dụng, chẳng hạn như dịch vụ nhắn tin, không mã hóa metadata, khiến việc theo dõi tin nhắn đi từ máy điện thoại nào tới máy điện thoại nào trở nên dễ dàng đối với bên cung cấp dịch vụ viễn thông.
Jeffrey Knockel, một nhà nghiên cứu tại Citizen Lab và tác giả bản báo cáo, cho biết: “Toàn bộ thông tin bạn truyền đi có thể bị theo dõi, đặc biệt khi bạn dùng một mạng không tin tưởng như Wi-Fi tại quán cafe hay khách sạn".
Hiện chưa rõ liệu các lỗ hổng bảo mật này có tồn tại theo chủ ý hay không, nhưng báo cáo phỏng đoán rằng biện pháp mã hóa đầy đủ có thể can thiệp với một số công cụ theo dõi online của chính phủ Trung Quốc, đặc biệt là hệ thống cho phép chính quyền địa phương theo dõi điện thoại qua các mạng Wi-Fi công cộng. Tuy nhiên, các nhà nghiên cứu cho rằng có lẽ các lỗ hổng này không có chủ ý, vì chính phủ Trung Quốc sẽ nhận được luôn dữ liệu từ ứng dụng mà không cần can thiệp trong quá trình truyền dữ liệu. Theo cách nói của ông Knockel, sử dụng ứng dụng MY2022 cũng có nghĩa là gửi thẳng dữ liệu đến cho chính phủ Trung Quốc.
Trong báo cáo của mình, Citizen Lab cũng nói rằng đã thông báo về lỗ hổng bảo mật trên MY2022 tới Ban Tổ chức Olympic và Paralympic Bắc Kinh vào ngày 3/12 vừa qua, nhưng chưa nhận được phản hồi. Một bản cập nhật vào tháng 1/2022 của ứng dụng này không khắc phục các vấn đề - một điều lại có thể khiến ứng dụng MY2022 vi phạm luật bảo vệ thông tin cá nhân của Trung Quốc cũng như chính sách quyền riêng tư của Apple và Google.
Apple và Google chưa phản hồi yêu cầu bình luận.
Những vấn đề như mã hóa không đầy đủ dữ liệu hoặc thậm chí không mã hóa từ lâu đã tồn tại trong ngành công nghệ Trung Quốc, khi mà các doanh nghiệp vừa phải bảo vệ dữ liệu của người dùng trong khi lại vừa phải sẵn sàng chia sẻ nó với các cơ quan chính phủ.
Từ những ngày đầu của đại dịch Covid-19, Chính phủ Trung Quốc đã dựa vào các ứng dụng truy vết để kiểm soát các đợt bùng dịch và giám sát dân cư sống ở các thành phố bị phong tỏa do có ca nhiễm. Những ứng dụng này nhiều lúc thiếu bảo mật hoặc minh bạch về mức độ theo dõi thông tin. Chẳng hạn, vào năm 2020, phần mềm truy vết của Alibaba đã tiết lộ dữ liệu cá nhân của người dùng cho cảnh sát địa phương mà không cảnh báo người dùng.
Trong quá trình chuẩn bị cho Olympic Tokyo 2021, Nhật Bản đã phát triển một ứng dụng giúp truy vết du khách quốc tế, nhưng công luận nhanh chóng lo ngại về nhiều lỗi trong ứng dụng này và việc liệu tất cả du khách có sử dụng smartphone để cài ứng dụng này hay không.
Tùng Phong (Theo New York Times)