Pi Network lấy danh bạ điện thoại gửi về máy chủ

4 Thanh Niên Online
Quyền truy cập danh bạ trên điện thoại người dùng được Pi Network yêu cầu khi cài đặt ứng dụng, tuy nhiên phần mềm này quản lý nguồn tài nguyên đó rất lỏng lẻo.
Toàn bộ danh bạ sẽ được gửi về máy chủ của Pi và quản lý thiếu an toàn /// Ảnh: Anh Quân Toàn bộ danh bạ sẽ được gửi về máy chủ của Pi và quản lý thiếu an toàn - Ảnh: Anh Quân
Toàn bộ danh bạ sẽ được gửi về máy chủ của Pi và quản lý thiếu an toàn
Ảnh: Anh Quân
Pi Network có mặt ở Việt Nam từ khoảng năm 2019 nhưng mãi tới đầu năm 2021 mới nổi lên. Ứng dụng này hiện là tâm điểm của những tranh cãi liên quan tới vụ rò rỉ dữ liệu khoảng 10.000 người dùng Việt Nam gần đây khi hacker tung tin thu thập data từ đây. Đã có nhiều chuyên gia khẳng định đó chỉ là biện pháp đánh lạc hướng bởi Pi Network không thu thập dữ liệu KYC của người dùng.
Tuy nhiên, mới đây một nhóm nghiên cứu bảo mật lại phát hiện ra vấn đề khác của nền tảng này: Pi Network thu thập dữ liệu từ danh bạ trên smartphone, gửi về máy chủ nhưng lại quản lý rất lỏng lẻo tài nguyên đã lấy. Dữ liệu có thể được tải về bằng thủ thuật đơn giản. Đáng chú ý hơn, dù hủy tài khoản, danh bạ của người dùng vẫn còn lại trên máy chủ của Pi.
Cụ thể, hai nhà nghiên cứu bảo mật của dự án Chống lừa đảo đã phân tích Pi Network phiên bản 1.30.3 được tải về Play Store trên hệ điều hành Android - nguồn ứng dụng chính quy được Google kiểm duyệt nghiêm ngặt trước khi cấp phép phát hành. Trong Pi Network có tính năng “Nhóm khai thác” mà ở đó người dùng có thể mời bạn bè sử dụng Pi. Để mời được bạn bè, phần mềm cần người dùng cấp quyền truy cập danh bạ điện thoại.
Khi được đồng ý, nền tảng này sẽ gửi danh bạ về máy chủ và cập nhật mỗi lần khi người dùng truy cập vào Nhóm khai thác. Hai nhà nghiên cứu trong nhóm đã lấy token xác thực và gửi yêu cầu lên máy chủ, tải thành công toàn bộ danh bạ mà ứng dụng đã tải lên. Việc này thực hiện được cả khi họ đã yêu cầu xóa tài khoản của mình.
Vấn đề tương tự từng được một nhà nghiên cứu tên Ryan Montogomery phản ánh ở phiên bản dành cho hệ điều hành iOS hồi tháng trước. Tuy nhiên phía nhà phát hành không phản hồi lại phát hiện của Ryan.
Hồi đầu năm nay, các chuyên gia đã phân tích và nhận thấy ứng dụng Pi Network vận hành tương tự phiên bản website và chỉ tìm ra tính năng hiển thị quảng cáo. Điều này có thấy Pi có thể từng kiếm tiền từ việc quảng cáo, hoặc có kế hoạch bật kiếm tiền thông qua quảng cáo trong tương lai.
Pi Network hiện tại là nền tảng đăng nhập để điểm danh, hiển thị web view xem thông tin và các tính năng trên ứng dụng chỉ là thao tác trên giao diện web. Điều này không phù hợp với tuyên bố “đào coin trên smartphone” như website hãng đăng tải. Pi cũng yêu cầu khá nhiều thứ trên smartphone như ID thiết bị (dùng để nhận biết máy nào sử dụng), quyền truy cập kho lưu trữ, kể cả Draw over other apps (quyền Lớp phủ màn hình có thể dùng để ăn cắp mật khẩu). Trong khi đó, một ứng dụng đào coin sẽ không cần tới các quyền này mà chỉ hướng tới quyền truy cập internet, sử dụng bộ nhớ… Đào coin cũng cần tới khả năng xử lý của CPU, điều không có trong Pi Network trên smartphone.

Bình luận

User
Gửi bình luận
Co***@gmail.com

Co***@gmail.com

Các bác ko biết rồi. Sau khi xóa tài khoản thì Pi network vẫn còn lưu hồ sơ của bạn trong vòng 30 ngày, sau 30 ngày nếu bạn ko khôi phục thì nó sẽ xóa hoàn toàn nhé các thánh. Giống như facebook đó, thực chất Pi network đăng ký ở Mỹ là 1 mạng xã hội nhé.
Huynh Long

Huynh Long

Vậy là bạn thiếu hiểu biết rồi, dữ liệu có được nói xóa là xóa sao, bạn biết database của Pi lưu và không lưu gì à.
Trần Đức Viên

Trần Đức Viên

Việc lấy dữ liệu danh bạ của các ứng dụng thì không chỉ có pi. Rất nhiều ứng dụng đều cấp quyền truy cập danh bạ. Ví dụ như facebook, instagram...Ngoài quyền truy cập danh bạ thì nhiều ứng dụng còn yêu cầu truy cập thư viện ảnh, tin nhắn, camera, micro,thẻ nhớ...những quyền mà pi ko đòi hỏi . Nếu các bạn để ý khi cài app lên điện thoại thì yêu cập truy cập vào điện thoại của nhiều app dài hằng lô hằng lốc. Về việc đào pi thì không phải thông qua các smartphone "điểm danh" hàng ngày . Có một hệ thống máy tính gọi là pi node làm nhiệm vụ này.
Son Nguyen

Son Nguyen

Việc đồng ý cho truy cập danh bạ rồi bị cóp hết về máy chủ đúng ko chỉ pi network mà cho tất cả các app đồng ý cho phép truy cập danh bạ. Chỉ là ng dùng ko nhận thức đc việc khi đồng ý rồi thì dữ liệu danh bạ vĩnh viễn nằm trên server và tuỳ thuộc cách các app qly dữ liệu và tâm của ng qly server có muốn mua bán dữ liệu đó ko.

VIDEO ĐANG XEM NHIỀU

Đọc thêm