Chính phủ Việt Nam kêu gọi người dân cài Bluezone để giúp phát hiện nguy cơ lây nhiễm Covid-19, trong khi chuyên gia bảo mật cho rằng ứng dụng này tiềm ẩn nhiều rủi ro cho người dùng.
Đông đảo người dân Việt Nam đã hưởng ứng lời kêu gọi của Chính phủ về việc cài đặt ứng dụng Bluezone lên điện thoại thông minh để giúp phát hiện việc tiếp xúc với nguồn lây nhiễm. Theo Bộ trưởng Bộ Thông tin và Truyền thông Nguyễn Mạnh Hùng, đến hết ngày 6/8, đã có hơn 8,5 triệu lượt tải Bluezone trên các nền tảng iOS và Android.
Tuy nhiên, trong giới chuyên gia an ninh mạng, có ý kiến cảnh báo những nguy cơ tiềm ẩn đối với người dùng và đối với nhà nước Việt Nam.
Chia sẻ với BBC News Tiếng Việt hôm 7/8, ông Dương Ngọc Thái, kỹ sư bảo mật ở Silicon Valley, nói: "Ai đột nhập vào hệ thống dữ liệu của Bluezone sẽ có được social graph (đồ thị tiếp xúc xã hội) của cả nước. Ngoài ra, họ còn có thể phá hoại bằng cách biến một người bất kỳ thành F0, F1 hay F2".
"Tức là họ có thể khiến nhiều người bị cách ly và khiến các cơ quan y tế phải tốn công sức kiểm tra những người không bị bệnh", ông Thái giải thích thêm.
'Bluezone biết ai đang cặp bồ với ai'
Bluezone là ứng dụng truy vết nhanh những người có nguy cơ lây nhiễm, đồng thời cảnh báo nếu người dùng tiếp xúc gần với người mắc Covid-19. Ứng dụng này dành cho điện thoại thông minh chạy iOS và Android.
Sản phẩm Bluezone ra đời theo sự chỉ đạo của Chính phủ Việt Nam, với hai đơn vị triển khai là Bộ Thông tin và Truyền thông và Bộ Y tế. Các chuyên gia phát triển ứng dụng bao gồm BKAV, một công ty chuyên về giải pháp bảo mật công nghệ thông tin tại Việt Nam.
Chuyên gia Dương Ngọc Thái giải thích: "Bluezone là một ứng dụng điện thoại giúp phát hiện ai đã tiếp xúc với ai, thông qua sóng Bluetooth Low Energy. Bluezone giúp cơ quan nhà nước Việt Nam thực hiện truy vết tiếp xúc (contact tracing), để phát hiện nguồn lây nhiễm (F0) và những ai có nguy cơ phơi nhiễm (F1, F2, v.v.). Người sử dụng Bluezone sẽ biết được họ từng tiếp xúc với F0 hay F1 nào không".
Tuy nhiên, theo ông Thái, trên lý thuyết là như vậy, còn thực tế hiệu quả và độ chính xác như thế nào thì "tôi không có đủ thông tin để đánh giá".
Chuyên gia Dương Ngọc Thái chính là người đã nêu ra hàng loạt cảnh báo về lỗ hổng bảo mật của Bluezone hồi tháng Tư. Ông cho biết đã gửi cảnh báo tới nhóm phát triển ứng dụng, nhưng sau đó đã bị tấn công, chỉ trích bằng nhiều hình thức.
"Khi Bluezone ra mắt vào khoảng tháng 4/2020, tôi có tìm hiểu cách thức hoạt động và phát hiện một số lỗi bảo mật ảnh hưởng đến sự an toàn và riêng tư của người dùng. Tôi gửi một báo cáo cho nhóm Bluezone và công bố trên blog cá nhân vì tôi nghĩ rằng nhiều người cần biết thông tin đó", ông Thái kể.
Ông Thái cho biết ban đầu nhóm phát triển Bluezone và những người ủng hộ họ "tìm nhiều cách để phản biện báo cáo của tôi, trong đó có cả tấn công cá nhân".
"Tôi đã học được rằng chỉ ra cái sai, cái ẩu của những lập trình viên quốc doanh là không yêu nước. Sau đó, phần vì tôi bận việc, phần vì nói mãi mà họ không chịu sửa nên tôi cũng nản, tôi không còn theo dõi Bluezone nữa. Có vẻ như dự án cũng dừng lại", ông kể.
"Khi dịch bùng nổ trở lại ở Việt Nam, tôi đoán trước sau gì Chính phủ Việt Nam sẽ yêu cầu người dân cài Bluezone vì Bluezone không chỉ là công nghệ mà còn là sự nghiệp chính trị của nhiều người", ông Dương Ngọc Thái chia sẻ.
"Tôi lại mở Bluezone ra xem và như tôi viết trên blog cá nhân, bằng cách phân tích phiên bản Android mới nhất (2.0.4, phát hành ngày 4/8/2020), tôi thấy Bluezone đã sửa chữa những lỗ hổng quan trọng nhất mà tôi đã loan báo hồi tháng Tư. Ngoài ra, nhờ nỗ lực thuyết phục của giáo sư Phan Dương Hiệu ở Pháp, Bluezone cũng đã khắc phục một nhược điểm quan trọng khác".
Chuyên gia Dương Ngọc Thái đánh giá cách làm hiện tại của Bluezone khá giống với cách làm của Singapore. Theo đó, máy chủ sẽ thu thập hết lịch sử tiếp xúc (contact history) của F0, F1, F2.
"Tập trung tất cả dữ liệu ở một chỗ sẽ giúp việc truy vết dễ dàng và hiệu quả hơn, nhưng điều đó cũng có nghĩa là Bluezone, tức nhà nước Việt Nam, sẽ biết được ai đã gặp ai, trong bao lâu, vào lúc nào. Từ thông tin này có thể suy ra được ai quen ai, tức social graph của phần lớn quan chức và dân chúng", ông giải thích.
"Đây là thông tin rất nhạy cảm, vì nó tiết lộ, chẳng hạn như, ai đang cặp bồ với ai. Giữa trưa mà thấy hai số điện thoại liên tục trao đổi 'mã số' cả tiếng đồng hồ là có thể đoán được họ chỉ đang nằm ôm nhau cho đỡ rét thôi".
'Phù hợp với thực tế Việt Nam'
Chuyên gia Dương Ngọc Thái nói rằng với cơ chế hoạt động như trên, Bluezone sẽ có được social graph của cả nước và "người nào nắm được social graph sẽ có nhiều cách kiếm tiền và quyền".
"Cả đế chế của Facebook được xây dựng dựa trên social graph. Đây là lý do nhiều nước không chọn cách làm này vì e ngại tập trung quá nhiều thông tin vào một chỗ sẽ dễ dẫn đến lạm quyền. Google và Apple cũng đã xây dựng một công nghệ truy vết cài sẵn trên Android và iOS, nhưng công nghệ này cũng không tiết lộ social graph cho phía máy chủ", ông chia sẻ.
Dù đánh giá Bluezone tiềm ẩn những mối nguy hiểm, nhưng chuyên gia Dương Ngọc Thái cho rằng giải pháp này "phù hợp với tình hình văn hóa, xã hội ở Việt Nam"."Người dân ai cũng muốn dịch qua cho nhanh để còn quay lại cuộc sống bình thường, có hi sinh một chút riêng tư và mất một chút thông tin cá nhân cũng không sao. Vấn đề chỉ là Bluezone sẽ bảo vệ dữ liệu ra sao và làm sao để đảm bảo không bị lạm quyền. Hiện giờ Bluezone chưa có cung cấp thông tin gì về chuyện này".
Trên website của mình, mới đây Bluezone đã đưa ra nhiều cam kết để trấn an người dùng, như "Ứng dụng chỉ lưu dữ liệu trên máy của bạn, không chuyển lên hệ thống", hoặc "Mọi người tham gia cộng đồng ẩn danh với những người khác. Chỉ cơ quan Y tế có thẩm quyền mới có thể biết những người nhiễm và nghi nhiễm do tiếp xúc gần với người nhiễm COVID-19". Tuy nhiên, vẫn chưa có một cơ chế nào để giám sát việc thực hiện các cam kết đó.
Ông Thái nhận xét thêm rằng: "Vì dân nghe lời kêu gọi của Chính phủ cài đặt Bluezone là để chống dịch và chỉ chống dịch mà thôi. Thỏa thuận giữa hai bên rất đơn giản: dân cung cấp dữ liệu cho Chính phủ để cùng Chính phủ đẩy lùi dịch bệnh. Nếu Chính phủ hay nhóm phát triển Bluezone sử dụng dữ liệu cho việc khác tức là đã đi ngược lại với thỏa thuận đó".
"Thụy Sĩ cũng có một ứng dụng giống như Bluezone tên là SwissCovid. Mặc dù SwissCovid không lưu dữ liệu tập trung trên máy chủ, tức là an toàn hơn Bluezone, nhưng chính phủ Thụy Sĩ đã ban hành một đạo luật ghi rõ cách thức hoạt động của SwissCovid và cam kết ứng dụng sẽ được vô hiệu hóa ngay khi không còn cần đến nữa. Tức là họ luật hóa thỏa thuận giữa hai phía và thực hiện giám sát bằng luật."
Trong bối cảnh Việt Nam, chuyên gia gợi ý: "Chính phủ có thể ban hành nghị định ghi rõ dữ liệu Bluezone chỉ dùng để chống dịch, sẽ được xóa trong bao nhiêu ngày kể từ khi Việt Nam tuyên bố hết dịch, rồi thuê hoặc chỉ định một cơ quan giám sát độc lập. Dân càng tin tưởng thì Chính phủ phải càng minh bạch, có vậy mới bền lâu được".
Trước câu hỏi liệu có khả năng tin tặc đột nhập vào hệ thống dữ liệu của Bluezone không, chuyên gia Dương Ngọc Thái nói rằng hiện có rất ít thông tin về cách Bluezone thiết kế và bảo vệ hệ thống dữ liệu, nên không thể đánh giá chính xác được.
Tuy nhiên, ông khuyến cáo: "Dựa vào chất lượng của những gì mà Bluezone đã công bố, tôi nghĩ Chính phủ Việt Nam phải hết sức thận trọng và nên thuê một bên thứ ba đánh giá độc lập cách làm của nhóm Bluezone".
Người dùng lưu ý điều gì?
Đích thân Thủ tướng Nguyễn Xuân Phúc đã kêu gọi người dân cài đặt Bluezone. Cơ quan chức năng Việt Nam bằng nhiều hình thức, trong đó có tin nhắn qua điện thoại, cũng không ngừng kêu gọi người dân cài đặt phần mềm này.
"Dịch bệnh Covid-19 diễn biến phức tạp. Bộ TT&TT và Bộ Y tế đề nghị tất cả người dân có máy điện thoại thông minh cài đặt ứng dụng phát hiện tiếp xúc gần Bluezone. Ứng dụng sẽ cảnh báo nguy cơ lây nhiễm Covid-19, giúp bảo vệ bản thân và gia đình. Cài đặt ngay tại…". Mỗi người dân sử dụng điện thoại di động tại Việt Nam ít nhất đều từng một lần nhận được tin nhắn trên kể từ khi đợt bùng phát dịch trong cộng đồng tái xuất hiện hồi cuối tháng 7.
Chuyên gia Dương Ngọc Thái cho biết dạng ứng dụng như Bluezone chỉ thực sự phát huy hiệu quả khi số lượng người dùng lớn. Trong cuộc họp trực tuyến của Chính phủ Việt Nam về chống dịch Covid-19 hôm 6/8, Bộ trưởng Nguyễn Mạnh Hùng kêu gọi các địa phương đẩy mạnh việc tuyên truyền, vận động người dân cài đặt ứng dụng Bluezone "để làm sao 30% - 45% dân số cài đặt ứng dụng này".
"Chúng ta có chính quyền mạnh và sâu đến cơ sở nên việc cài đặt chắc chắn làm được. Đi từng ngõ, gõ từng nhà và rà từng người cài đặt Bluezone", ông Hùng nói. Cũng theo ông Hùng, nhờ ứng dụng này, ngành y tế đã truy vết được 21 trường hợp F1, F2.
Trong trường hợp ưu tiên chống dịch và tạm thời hy sinh vấn đề bảo mật cá nhân, người dùng cần lưu ý một số nguyên tắc để giảm thiểu rủi ro.
"Trước tiên, lịch sử tiếp xúc và social graph của mỗi người nhiều khả năng sẽ được máy chủ Bluezone thu thập và lưu trữ lâu dài. Nên điều chỉnh lịch ôm nhau cho phù hợp", chuyên gia Dương Ngọc Thái nói.
"Bluezone có hỏi số điện thoại khi đăng ký. Kỳ thực không nhập số điện thoại không ảnh hưởng gì mấy đến hoạt động của ứng dụng, nhưng giúp người dùng phần nào trở nên ẩn danh trên hệ thống của Bluezone. Nếu là tôi, tôi sẽ không nhập số điện thoại cho đến khi nào được xác định là F0"."Bluezone kỳ thực không phải là khẩu trang. Khẩu trang có tác dụng phòng chống và hầu như không có tác dụng phụ. Bluezone không giúp chống lây nhiễm virus, mà chỉ giúp phát hiện có ở gần ai bị bệnh hay không. Mỗi người vẫn nên đeo khẩu trang và thực hiện giãn cách xã hội", ông lưu ý thêm.
Không có nhận xét nào:
Đăng nhận xét