Smartphone có thể bị theo dõi vị trí qua Bluetooth

Chưa phát hiện PC-Covid thu thập thông tin người dùng

Cơ quan đánh giá độc lập từ Bộ Công an và Bộ Quốc phòng kết luận PC-Covid không thu thập thông tin người dùng ngoài phạm vi chức năng ứng dụng.

Việc đánh giá về quyền truy cập của ứng dụng PC-Covid được hoàn thành vào ngày 6/10 bởi Tổ đánh giá gồm: Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an), Bộ tư lệnh Tác chiến không gian mạng (Bộ Quốc phòng), Cục An toàn thông tin (Bộ Thông tin và Truyền thông), Hiệp hội An toàn thông tin Việt Nam và một số chuyên gia về an toàn, an ninh mạng trong nước.

Tại họp báo sáng 7/10, đại diện Tổ đánh giá khẳng định: "Sau khi đánh giá mã nguồn, chưa phát hiện ứng dụng PC-Covid thu thập thông tin người dùng ngoài phạm vi thực hiện các chức năng được mô tả".

Cụ thể, PC-Covid hiện đang xin bốn quyền và nhóm quyền chính từ smartphone của người dùng, gồm: Quyền sử dụng Bluetooth, Quyền truy cập thông báo (với máy Android), Quyền sử dụng camera và Quyền truy cập ảnh, video, âm thanh và tệp. Ngoài ra còn một quyền đi kèm quyền truy cập vị trí.

Ứng dụng PC-Covid truy cập bốn quyền chính, nhưng người dùng có thể tắt nếu không muốn sử dụng tính năng nào đó.

Trong đó, quyền sử dụng camera được dùng trong tính năng quét mã QR và gửi phản ánh bằng hình ảnh hoặc video. Còn quyền truy cập ảnh phục vụ việc lưu mã QR về máy.

Quyền truy cập thông báo chỉ xuất hiện trên nền tảng Android. Theo đơn vị phát triển, quyền này giúp ứng dụng hoạt động liên tục và ổn định hơn. "Khi sử dụng quyền này, nếu PC-Covid dừng hoạt động, hệ điều hành lập tức gọi ứng dụng hoạt động trở lại".

Quyền truy cập Bluetooth dành cho tính năng ghi nhận tiếp xúc gần. Trên nền tảng Android, quyền này gắn liền với quyền truy cập vị trí. Còn trên iOS, truy cập vị trí cùng Bluetooth sẽ giúp PC-Covid sử dụng được công nghệ iBeacon của Apple nhằm tối ưu hóa khả năng ghi nhận tiếp xúc.

Nhiều người dùng lo ngại việc cấp cho ứng dụng các quyền trên có thể tiềm ẩn nguy cơ bị thu thập thông tin cá nhân, như hình ảnh, tin nhắn, vị trí. Ví dụ với quyền truy cập thông báo, do đặc thù của Android, quyền này cho phép ứng dụng có thể đọc cả nội dung của thông báo đó, gồm thông báo SMS hay thông báo từ các ứng dụng khác. Một số dòng điện thoại cảnh báo đây là quyền nhạy cảm.

Tại họp báo, Đại tá Nguyễn Trọng Thái, đại diện Bộ tư lệnh Tác chiến không gian mạng, cho biết "chưa phát hiện yếu tố mang tính thu thập thông tin" trong ứng dụng PC-Covid. "Chúng tôi đã kiểm tra cả phần mềm đóng gói và mã nguồn của ứng dụng, rà soát từng dòng lệnh. Các quyền nêu trên cũng phù hợp với nhu cầu đặc điểm phòng chống dịch hiện nay", ông Thái nói.

Ngoài việc kiểm soát bởi tổ đánh giá độc lập, việc cấp quyền cho PC-Covid trên smartphone còn được thực hiện bởi ba cơ chế khác, gồm: Cơ chế của hệ điều hành - luôn thông báo đến người dùng khi ứng dụng yêu cầu cấp quyền; cơ chế của kho ứng dụng - kiểm tra từng đoạn mã, hàm chức năng của ứng dụng trước khi chấp nhận đưa lên kho; và cơ chế từ đội ngũ phát tại Trung tâm Công nghệ phòng chống Covid -19 quốc gia.

Theo Trung tâm, thời gian tới, ứng dụng sẽ tiếp tục được cập nhật và có thể tối giản các quyền truy cập. Ví dụ ở phiên bản cũ, PC-Covid từng khai thác quyền truy cập vị trí để hỗ trợ người dùng gửi phản ánh đến đúng cơ quan quản lý ở các xã phường. Tuy nhiên, việc này đã được loại bỏ để tránh hiểu nhầm.

Người dùng có thể tắt hoặc lựa chọn một số quyền nếu không muốn sử dụng. Chẳng hạn, chỉ cho phép truy cập ảnh một lần khi lưu mã QR về máy, hay chỉ cho phép truy cập camera mỗi khi cần quét QR. Tuy nhiên, việc tắt Bluetooth sẽ khiến hệ thống không thể truy vết và thông báo nếu người dùng vô tình tiếp xúc với F0.