Ứng dụng tạo avatar Facebook phong cách kiếm hiệp thu thập thông tin nhạy cảm của người dùng
Bkav vừa cho biết, qua phân tích sơ bộ, Pitu - ứng dụng chỉnh sửa ảnh của công ty Trung Quốc Tencent, hỗ trợ người dùng tạo avatar Facebook theo phong cách kiếm hiệp, có khả năng thu thập nhiều thông tin nhạy cảm của người dùng, gây mất an toàn dữ liệu.
Những ngày gần đây, Facebook xuất hiện nhiều hình ảnh trong đó người dùng ghép mặt mình vào các nhân vật cổ trang nhìn rất đẹp. Nhiều người đã chọn hình ảnh này để làm avatar cho trang Facebook cá nhân. Để tạo hình ảnh, người dùng chỉ cần tải ứng dụng chỉnh sửa ảnh trên di động Pitu được Công ty Tencent (Trung Quốc) phát hành hồi trung tuần tháng 1/2017. Tính năng cắt ghép ảnh của ứng dụng Pitu cho phép người dùng “hóa thân” thành nhân vật trong phim cổ trang Trung Quốc.
Với hình ảnh được chỉnh sửa vui nhộn, bắt mắt, ứng dụng miễn phí này đã nhanh chóng thu hút đông đảo người dùng nhất là các bạn trẻ. Tính đến thời điểm hiện tại, ứng dụng Pitu đã có tới hơn 160.000 lượt tải về từ Google Play.
Tuy nhiên, trong thông tin phát ra chiều nay, ngày 14/2/2017, Công ty Bkav đã khuyến cáo người dùng cần cẩn trọng, cân nhắc khi cài đặt ứng dụng chỉnh sửa ảnh Pitu. Bởi lẽ, khi cài đặt ứng dụng Pitu “đòi” người dùng một số quyền ưu tiên, đồng thời nhiều thu thập dữ liệu nhạy cảm của người dùng.
Cụ thể, các chuyên gia an ninh mạng Bkav cho biết, kết quả phân tích sơ bộ file cài đặt cho thấy, ứng dụng Pitu yêu cầu một số quyền truy cập thông tin trên thiết bị di động của người dùng vốn không cần thiết cho tính năng của ứng dụng, bao gồm: quyền mở một kết nối Bluetooth đến một thiết bị khác; quyền tự động mở một kết nối Wi-Fi; quyền tạo và truy cập Internet; quyền truy cập vào việc định vị vị trí của thiết bị (GPS); quyền đọc thông tin của thiết bị (ID, các ứng dụng, IMEI, số điện thoại, các cuộc gọi…); quyền kiểm tra các ứng dụng, chương trình đang chạy trên thiết bị; quyền đọc và ghi vào bộ nhớ thiết bị, thay đổi cấu hình và dữ liệu của thiết bị; và quyền ghi lại các cuộc hội thoại.
Ông Nguyễn Hồng Sơn, chuyên gia phụ trách mảng An ninh hệ thống của Bkav nhận định, với ứng dụng chỉ gồm tính năng về chỉnh sửa ảnh như Pitu thì việc yêu cầu truy cập các thông tin nhạy cảm như trên là không cần thiết. Điều này có nguy cơ gây mất an ninh đối với dữ liệu người dùng, thậm chí chúng có thể theo dõi người dùng.
Cũng theo các chuyên gia Bkav, ứng dụng Pitu liên tục kết nối và gửi dữ liệu tới các địa chỉ IP của các server đặt tại Trung Quốc như: http://log.tbs.qq.com; https://qpiksvr.xiangji.qq.com. Tuy nhiên dữ liệu được mã hóa, hiện các chuyên gia Bkav đang tiến hành phân tích thêm.
Chuyên gia Bkav cho biết thêm: "Đặc biệt, ứng dụng Pitu tự động tải về file tbs_res_imtt_tbs_release_tbs_core_3.0.0.1049_04302 4_20170120_170945.tbs từ server http://103.7.29.178/soft.tbs.imtt.qq.com/ để tiến hành cài đặt. Tại thời điểm phân tích thì file trên là một ứng dụng để thực hiện việc “test”. Tuy nhiên, tính năng tự động tải file này có thể được sử dụng để tải và chạy các ứng dụng độc hại trên điện thoại của người dùng".
