Ứng dụng Pi Network thu thập danh bạ người dùng, xóa tài khoản vẫn lấy được dữ liệu
Pi Network là ứng dụng đào tiền điện tử thu hút được nhiều sự quan tâm của người Việt trong thời gian qua.
Hiện nay giá trị của đồng Pi đang xấp xỉ bằng 0, nhưng những người ủng hộ Pi tin rằng một ngày giá trị của đồng tiền này sẽ cao ngang ngửa với Bitcoin.
Giao diện của ứng dụng Pi Network. (Ảnh: Lưu Quý / VnExpress)
Cơn sốt Pi Network tại Việt Nam đạt đỉnh vào đầu tháng 3/2021, đây cũng là lúc các cảnh báo về khả năng thu thập dữ liệu trái phép của ứng dụng này được đưa ra liên tục từ các chuyên gia và cả cơ quan chức năng.
Xem thêm: Elon Musk bị phát hiện mua vào 10 nghìn Bitcoin dù chê tiền ảo này gây hại môi trường
Mới đây, hai nhà nghiên cứu bảo mật là “manhnho” và “Cu64” của dự án Chống lừa đảo đã chỉ ra lỗ hổng của ứng dụng Pi: Đó là thu thập dữ liệu người dùng, gửi lên máy chủ nhưng quản lý không tốt.
(Ảnh: Internet)
Cụ thể, hai nhà nghiên cứu bảo mật “manhnho” và “Cu64” đã phân tích ứng dụng Pi Network phiên bản 1.30.3 trên hệ điều hành Android, được tải về từ Play Store.
Trong ứng dụng Pi Network có một tính năng mới gọi là Nhóm khai thác, người dùng có thể mời bạn bè mình sử dụng Pi thông qua tính năng này. Nếu chọn Mời, ứng dụng sẽ yêu cầu quyền truy cập danh bạ trên điện thoại của người dùng.
Dù đã xóa tài khoản, nhóm nghiên cứu vẫn có thể lấy lại dữ liệu danh bạ điện thoại từ máy chủ ứng dụng Pi. (Ảnh: Github)
Sau khi bấm đồng ý, ứng dụng Pi sẽ gửi danh bạ trong máy lên máy chủ. Tiếp đó, mỗi lần truy cập mục Nhóm khai thác, ứng dụng lại gửi một bản cập nhật của danh bạ.
Tuy nhiên, vấn đề nằm ở hệ thống quản lý dữ liệu của người dùng. Khi người dùng lựa chọn xóa tài khoản Pi, đúng ra các dữ liệu liên quan đến người dùng đó, bao gồm cả danh bạ, cũng phải được xóa đi trên máy chủ. Dù vậy, nhóm nghiên cứu cho thấy họ có thể dễ dàng khôi phục dữ liệu này.
(Ảnh: Geeky News)
Bằng cách lấy token xác thực của ứng dụng và gửi yêu cầu lên máy chủ, hai nhà nghiên cứu đã lấy lại được toàn bộ danh bạ mà ứng dụng Pi đã tải lên.
“Sau khi đã xóa tài khoản của mình, chúng tôi thử gửi yêu cầu vài lần. Qua những lần báo lỗi 401, máy chủ đã gửi lại dữ liệu cho chúng tôi. Đó là những dữ liệu đáng ra đã phải bị xóa hết đi”, nhóm nghiên cứu Chống lừa đảo cho biết.
(Ảnh: Pi Network)
Trước đó, nhà nghiên cứu bảo mật Ryan Montgomery đã tìm thấy vấn đề tương tự đối với ứng dụng Pi Network trên iOS từ tháng 4. Montgomery đã nhắc tới nhóm phát triển ứng dụng Pi trên Twitter nhưng không nhận được câu trả lời.
Xem thêm: Tỷ phú Bill Gates gọi cuộc hôn nhân với vợ cũ là ‘độc hại’, được người bạn tai tiếng chỉ cách ly hôn