CryWoman
Member
3.700 liên hệ trong danh bạ của anh đã được ứng dụng Pi Network đăng tải lên máy chủ của họ một cách chi tiết.
Mới đây, chuyên gia bảo mật Hoa Kì Ryan Montgomery đã đăng tải thông tin trên Twitter cá nhân về phát hiện mới về ứng dụng tiền điện tử Pi Network.
Cụ thể, trong bài đăng vào ngày 18 tháng Tư vừa qua, hacker mũ trắng được biết đến dưới cái tên “0day” đã theo dõi các lượt trao đổi dữ liệu từ ứng dụng Pi Network trên iOS. Anh đã sử dụng 2 công cụ phổ biến - Fiddler và Burpsuite - để quan sát tất cả yêu cầu (request) gửi đi từ ứng dụng này. Đó là lúc Montgomery phát hiện ra điểm bất thường.
Ryan viết: “Tôi để ý thấy có 3700 liên hệ của mình được đăng tải lên máy chủ của họ và chúng được lưu trữ cũng như có thể truy vấn.”. Dựa vào hình ảnh mà anh cung cấp, chúng ta có thể dễ dàng nhận thấy ứng dụng này đã đăng tải thông tin đầy đủ về các liên hệ lên máy chủ, bao gồm cả những trường dữ liệu như họ tên, nghề nghiệp hay địa chỉ. Montgomery cũng đã tag trang Twitter chính thức của Pi Network vào bài đăng của mình, nhưng hiện anh chưa nhận được phản hồi nào.
Trong điều khoản bảo mật đi kèm với ứng dụng iOS của mình, đội ngũ Pi Network có nhắc đến hành vi này. Cụ thể, trong mục “Thông tin được tự động thu thập khi bạn sử dụng dịch vụ của chúng tôi” của điều khoản bảo mật, có đoạn: “Danh bạ trên thiết bị. Nếu bạn đang sử dụng ứng dụng di động của chúng tôi, chúng tôi có thể - với sự cho phép của bạn - thu thập thông tin từ danh bạ trên thiết bị của bạn.”.
Quyền truy cập danh bạ trên ứng dụng Pi Network trên phiên bản iOS và cả Android nhằm phục vụ một tính năng quan trọng trong ứng dụng này với tên gọi Security Circle. Tính năng này cho phép bạn mời người trong danh bạ vào “circle” của mình, với lợi ích cho người dùng là tăng tốc độ “đào” tiền điện tử Pi. Bạn cũng có thể biết được có ai trong danh bạ của mình đang sử dụng Pi Network nếu cho phép ứng dụng này truy cập danh bạ.
Trên thực tế, việc cho phép truy cập danh bạ để tìm những người quen cùng sử dụng ứng dụng không phải điều gì mới mẻ, mà nhiều ứng dụng mạng xã hội đã làm từ lâu. Nhưng theo anh Montgomery, người ta có thể làm được điều này sử dụng một số tham chiếu gán với từng người dùng đã đăng ký, chứ không cần bộ thông tin đầy đủ với tất cả các trường như Pi Network đang làm.
Dù với động cơ gì đi nữa, việc thu thập toàn bộ thông tin chi tiết trong danh bạ là điều rất đáng lo ngại. Theo Montgomery, App Store nghiêm cấm các nhà phát triển khai thác dữ liệu danh bạ, và anh đã liên lạc với phía Apple về trường hợp của Pi Network và đang chờ đợi phản hồi.
