Ứng dụng Pi Network đang là ứng dụng tiền ảo được biết đến rộng rãi. Thế nhưng người dùng nên cẩn trọng vì ứng dụng này đã được phát hiện là có thể làm lộ thông tin mật của người dùng. Bởi sau khi tải đại chỉ, thông tin liên hệ của người dùng lên máy chủ. Thì ứng dụng này không thể xoát tất cả thông tin về chúng. Và ngay cả khi bạn đã xóa tài khoản thì vẫn không đảm bảo. Vì là ứng dụng tiền ảo không cần mất phí chỉ cần vào điểm danh là được nhận Pi chính. Vì thế mà nhiều người Việt ham dùng ứng dụng này.
Tuy nhiên nhiều chuyên gia tài chính đánh giá rằng trang mạng này là thiếu minh bạch và không an toàn. Chính vì thế với những người dùng Pi Network. Nên đặc biệt cẩn trọng khi sử dụng ứng dụng này tránh để lộ thông tin mật quan trọng.
Ứng dụng Pi Network không xóa hết danh bạ người dung
Ứng dụng Pi Network bị phát hiện tải danh bạ người dùng lên máy chủ. Ứng dụng Pi Network được phát hiện là tải các địa chỉ liên hệ của người dùng lên máy chủ. Và không xóa tất cả chúng, ngay cả khi người dùng xóa tài khoản.
Việc tải danh bạ người dùng lên máy chủ ban đầu được phát hiện bởi nhà nghiên cứu Ryan M. Montgomery; với phiên bản Pi Network dành cho iOS. Mới đây, hai nhà nghiên cứu bảo mật Phạm Tiến Mạnh và Dương Tiểu Đồng đến từ nhóm Chống lừa đảo của Việt Nam phân tích phiên bản Pi Network trên Android; và cũng phát hiện vấn đề tương tự. Thậm chí ở phát hiện mới, Pi Network còn lưu trữ danh bạ ngay cả khi người dùng hủy tài khoản.
Phiên bản mà hai nhà nghiên cứu sử dụng là Pi Network 1.30.3; được cập nhật ngày 4/3 – mới nhất trên Android. Sau khi khởi động, app truy cập một số dữ liệu trên máy; gồm tên thiết bị, loại kết nối, bộ nhớ trống.
Trên ứng dụng Pi Network có tính năng “Nhóm khai thác”. Người dùng Pi được khuyến khích khai thác theo nhóm để tăng tốc độ nhận Pi; cũng như tạo “Vòng tròn bảo mật”. Để mời người khác vào nhóm, người dùng có thể lựa chọn như gửi qua Facebook hoặc mời bạn bè trên danh bạ.
Quản lý dữ liệu của Pi Network yếu kém
Tuy nhiên, vấn đề nghiêm trọng hơn mà hai nhà nghiên cứu Việt Nam chỉ ra là cách quản lý dữ liệu của Pi Network “yếu kém”. Dẫn đến danh bạ vẫn tồn tại trên máy chủ ngay cả khi người dùng kết thúc phiên sử dụng hoặc thậm chí xóa tài khoản.
Thông thường khi người dùng đăng xuất, đổi mật khẩu, xóa tài khoản, token xác thực của người dùng cũng sẽ bị xóa hoặc vô hiệu hóa. Tuy nhiên trong thử nghiệm, token xác thực này vẫn hợp lệ và có thể dùng để truy xuất dữ liệu. Ở tình huống người dùng không muốn sử dụng Pi Network. Và mong muốn xóa toàn bộ tài khoản cũng như dữ liệu. Pi Network chỉ xóa số đồng tiền Pi trong tài khoản còn vẫn giữ lại danh bạ.
“Chúng tôi thử gửi yêu cầu truy xuất danh bạ sau khi đã xóa tài khoản. Sau một số lần báo lỗi 401, máy chủ đã gửi lại dữ liệu này. Đây là một lỗi bảo mật cơ bản, chứng tỏ nhà phát triển chưa đầu tư nhiều về bảo mật”, Phạm Tiến Mạnh nhận định.
Trong trả lời với nhà nghiên cứu bảo mật Ryan M. Montgomery hồi tháng 4. Đội phát triển Pi giải thích việc tải danh bạ người dùng lên máy chủ là để “giúp người dùng tìm danh bạ để đưa vào vòng tròn bảo mật”.
Mặc dù có rất nhiều nghi vấn được đặt ra cho Pi Network. Nhưng thực chất, dự án này không kêu gọi đầu tư. Nên khó có thể xem đây là một dự án lừa đảo. Mặc dù vậy, trước những mập mờ về thông tin do nhà phát triển cung cấp. Nhiều chuyên gia lo ngại rằng dự án có vỏ bọc là tiền điện tử này đang sử dụng cho mục đích khai thác thông tin người dùng.
Pi Network nền tảng tiền ảo ứng dụng rộng rãi
Theo các chuyên gia bảo mật đến từ nhóm Chống lừa đảo. Việc ứng dụng lấy thông tin danh bạ của người dùng đưa lên máy chủ; tiềm ẩn nguy cơ mất thông tin không chỉ của những người sử dụng. Mà của cả người thân, bạn bè trong danh bạ cũng bị ảnh hưởng gián tiếp.
Theo đánh giá của các nhà phát triển Android, việc cho phép truy cập danh bạ là một trong những quyền tương đối cao. Được xếp hạng “nguy hiểm” trên thang đo mức độ an toàn của một ứng dụng. Ứng dụng chỉ có quyền làm vậy khi được phép của người dùng.
Pi Network là nền tảng tiền ảo xuất hiện từ năm 2019, rộ lên tại Việt Nam đầu năm 2021. Sau khi tải ứng dụng lên smartphone, người dùng sẽ được tặng các đồng Pi với điều kiện cần vào điểm danh mỗi ngày. Nhiều người Việt Nam tham gia ứng dụng này; với suy nghĩ “không mất gì mà vẫn có tiền” nếu sau này đồng Pi có giá trị. Hiện nay, giá của đồng Pi vẫn bằng 0 do chưa thể thực hiện giao dịch. Nền tảng này cũng bị nhiều chuyên gia bảo mật đánh giá là thiếu minh bạch, do không công bố mã nguồn.
Mới đây, Pi cũng bị nhắc tên trong vụ việc hàng nghìn chứng minh nhân dân của người Việt bị rao bán. Nhưng các nhà phát triển Pi phủ nhận; bởi Pi chỉ dùng hộ chiếu để xác thực thông tin người dùng.
More Stories
Camera ẩn dưới màn hình smartphone gây ra nhiều tranh cãi
Hot: Robot sẽ trực tiếp giám sát và đánh giá chất lượng công việc của con người
Công nghệ AI được phát triển bởi các siêu máy tính nhanh nhất