Người dùng có nên nghi ngại, không cài đặt Bluezone?

VietTimes – Rảo một vòng quanh Facebook, có rất nhiều ý kiến bày tỏ sự nghi ngại về tính hiệu quả cũng như minh bạch của Bluezone – ứng dụng truy vết Covid-19. Liệu Bluezone có thực sự đáng ngại?.
Người dùng có nên nghi ngại, không cài đặt Bluezone? ảnh 1

Nhiều quốc gia sử dụng ứng dụng giống Bluezone

 Bluezone là ứng dụng do Bộ Thông tin và Truyền thông phối hợp với Bộ Y tế chủ trì xây dựng theo yêu cầu của Thủ tướng Chính phủ nhằm đối phó với đại dịch Covid-19. Đội ngũ kỹ sư phát triển ứng dụng này là những nhân sự đang làm việc cho BKAV, VNPT, MobiFone, Memozone, trong đó BKAV là đơn vị thực hiện chính.

Bluezone được ra mắt ngày 18/4. Mục đích của ứng dụng này là để cơ quan chức năng có thể tìm ra những người đã từng tiếp xúc với các bệnh nhân F0, F1, nhằm tầm soát và cách ly một cách có hiệu quả.

Việc ra mắt một ứng dụng truy vết những người tiếp xúc bệnh nhân như thế này là rất cần thiết. Trên thế giới rất nhiều nước đã sử dụng công nghệ để hỗ trợ phòng dịch Covid-19. Trung Quốc – nơi khởi phát dịch bệnh – đã sử dụng mã QR màu tích hợp trong 2 ứng dụng phổ biến là Alipay và WeChat để phân loại người dùng. Những người có mã QR màu xanh là người không bị nhiễm virus, có thể tự do di chuyển trong thành phố. Những người có mã màu đỏ và vàng cần phải cách ly tại nhà hoặc cách ly có giám sát. Theo truyền thông Trung Quốc, hệ thống này đã áp dụng tại hơn 100 thành phố trên cả nước.

Singapore và Hàn Quốc là những nước khá thành công trong việc ngăn chặn đà lây lan của Covid-19, cũng một phần nhờ vào việc truy vết qua ứng dụng di động. Singapore chính là nước đầu tiên trên thế giới tung ra ứng dụng Trace Together. Ứng dụng này hoạt động dựa trên công nghệ Bluetooth Low Energy giống như Bluezone của Việt Nam. Ra mắt vào ngày 20/3, đến đầu tháng 4, đã có 1,1 triệu người Singapore (tương đương một phần năm dân số) cài đặt ứng dụng này. Sau đó, Singapore đã phát triển thêm một số ứng dụng truy vết khác.

Còn Hàn Quốc lại sử dụng tính năng Timeline trên Google Maps để người dân tự nguyện ghi lại vị trí của mình giúp cho việc xác định những người ở gần hoặc ở trong ổ dịch.

Theo tờ Quartz, tính đến tháng 4 năm nay, đã có 29 quốc gia sử dụng ứng dụng trên điện thoại thông minh để truy vết những người tiếp xúc với bệnh nhân nhằm hạn chế sự lây lan của đại dịch Covid-19.

Bluezone vừa ra mắt đã dính “thị phi”

Có thể thấy, ứng dụng Bluezone được tạo ra không có gì khác so với hướng đi của nhiều nước trên thế giới. Nó cũng tuân thủ những nguyên tắc chung về cơ chế hoạt động và thu thập dữ liệu. Nhưng ra mắt chưa được bao lâu, nó đã vướng phải chỉ trích của một vài người hoạt động trong lĩnh vực công nghệ, đặc biệt là anh Dương Ngọc Thái.

Tính đến 11h ngày 10/8/2020, số lượng tải ứng dụng Bluezone đạt 14,9 triệu lượt, tăng 14,7 triệu lượt so với ngày 25/7/2020. Đà Nẵng, Hà Nội, Quảng Ninh, TP.HCM, Bắc Ninh, Hải Phòng, Bà Rịa-Vũng Tàu, Bình Dương, Lạng Sơn, Thừa Thiên-Huế tiếp tục dẫn đầu cả nước về tỷ lệ người dùng Bluezone trên tổng số thuê bao điện thoại có dùng điện thoại thông minh, với tổng số người dùng là 5,7 triệu.

Nói thêm một chút về anh Dương Ngọc Thái. Là một người đam mê công nghệ, anh Thái từng đảm nhận vị trí Trưởng phòng An ninh Thông tin của Ngân hàng Đông Á. Những lúc công việc rảnh rang, anh lại mày mò tìm lỗ hổng bảo mật trên các hệ thống máy tính. Tháng 9/2009, anh Thái trở nên nổi tiếng thế giới khi phát hiện ra lỗ hổng bảo mật trong dịch vụ Flickr (lúc đó thuộc sở hữu của Yahoo). Sau đó, vào năm 2010, anh lại phát hiện ra lỗ hổng của phần mềm Microsoft - một điểm yếu có thể ảnh hưởng tới hàng triệu trang web toàn cầu. Kỹ thuật tấn công phát hiện lỗ hổng Microsoft của anh đã được cộng đồng an ninh mạng thế giới đánh giá là kỹ thuật tấn công hay nhất năm 2010.

Hiện tại anh Dương Ngọc Thái đang làm việc cho Google với vị trí Trưởng nhóm Bảo mật.

Khi ứng dụng Bluezone vừa ra mắt, anh Thái đã kiểm tra ứng dụng này và nêu ra 6 điểm yếu về bảo mật dữ liệu của Bluezone có thể ảnh hưởng nghiêm trọng tới người dùng.

Thứ nhất, Bluezone chỉ gán một số ID duy nhất cho mỗi người thay vì sinh số ngẫu nhiên liên tục như giải pháp của Singapore, châu Âu hay Google. Một ID cố định duy nhất sẽ dẫn đến nguy cơ người dùng bị theo dõi, bị lộ thông tin vị trí, hành trình.

Thứ hai, ứng dụng không thay đổi mã Bluetooth của thiết bị. Đây là cách làm không giống như Singapore và châu Âu đã làm. Điều này cũng có nguy cơ dẫn đến người dùng bị lộ thông tin về vị trí, hành trình, đã gặp ai, có bị nhiễm bệnh không.

Thứ ba, mã Bluezone quá ngắn dẫn đến dễ trùng mã. Theo tính toán của anh Thái, chỉ cần khoảng 65 nghìn người đăng ký sử dụng thì sẽ có 2 người có mã ID Bluezone đăng ký trùng nhau. Khi đó, nếu một trong hai người bị nhiễm bệnh thì người kia cũng được tính là nhiễm bệnh.

Thứ tư, thuật toán tạo mã ID Bluezone rất dễ đoán. Nếu lộ mã ID Bluezone, tin tặc có thể sửa đổi dữ liệu để người không nhiễm bệnh thành người nhiễm bệnh.

Thứ năm, khi chạy ứng dụng Bluezone lần đầu tiên, ứng dụng này sẽ đăng ký nhận tin nhắn từ máy chủ hệ thống qua dịch vụ Firebase Cloud Messaging. Vì ID Bluezone có thể đoán được nên tin tặc có thể đọc được những tin nhắn mà máy chủ gửi xuống cho người dùng.

Thứ sáu, ứng dụng Bluezone trên Android yêu cầu người dùng cấp quyền truy cập hình ảnh và tài liệu lưu trữ, sau đó lại Bluezone lại sao lưu dữ liệu ra ổ đĩa external – đây là nơi ai cũng có thể đọc. Do đó, tất cả các ứng dụng trên điện thoại có thể đọc được dữ liệu này và qua đó có thể biết người dùng đã gặp ai, ở đâu, vào lúc nào.

Tóm lại, theo anh Dương Ngọc Thái, một số điểm yếu của Bluezone có thể khiến tin tặc lợi dụng để xem thông tin vị trí, lịch sử di chuyển của người dùng, xem họ đã gặp những ai. Thậm chí có thể sửa đổi để những người không nhiễm bệnh trở thành những người nhiễm bệnh.

Người dùng có nên nghi ngại, không cài đặt Bluezone? ảnh 2

Nguyên tắc hoạt động của Bluezone

Bên cạnh những phản ánh của anh Thái, trong quá trình sử dụng Bluezone gần đây, người dùng cũng phản ánh một số lỗi khác như: hai người đứng ở gần nhau và có cài Bluezone nhưng ứng dụng không ghi nhận có người dùng Bluezone bên cạnh, ứng dụng ghi nhận quá nhiều lượt tiếp xúc (lịch sử tiếp xúc) nhưng trên thực tế không phải như vậy…

Nhiều người cũng tỏ ra nghi ngại khi đọc phần cấp quyền truy cập của Bluezone. Ở phiên bản 2.0.2, ứng dụng yêu cầu người dùng cho phép định vị chính xác đến ngay nơi họ đứng, điều chỉnh hoặc xóa bớt dung lượng thẻ nhớ, cho phép đọc những nội dung trong ổ lưu trữ dùng chung. Những nghi ngại này, cũng giống như anh Dương Ngọc Thái từng đề cập, là dữ liệu nhạy cảm của người dùng có thể bị tin tặc chiếm đoạt hoặc bị đơn vị thực hiện ứng dụng Bluezone nắm giữ.

Những phản ánh trên có đúng không?

Ngay sau khi anh Dương Ngọc Thái công bố các lỗ hổng trong phần mềm Bluezone, nhóm phát triển phần mềm đã có những phản hồi trên trang whitehat.vn. Cộng đồng những người làm tin học cũng đã chỉ ra những chỗ chưa đúng trong nhận xét của anh Dương Ngọc Thái. Chẳng hạn như điểm yếu số 2 mà anh Thái chỉ ra là ứng dụng không thay đổi địa chỉ Bluetooth của thiết bị. Thực ra muốn thay đổi địa chỉ Bluetooth cần sự hỗ trợ của hệ điều hành và phần cứng. Hay như điểm yếu số 6, anh Thái nói rằng Bluezone yêu cầu người dùng cấp quyền truy cập vị trí chính xác là điều nguy hiểm cho tính riêng tư, nhưng thực tế đây là một tính năng bắt buộc của hệ điều hành Android.

Về những thắc mắc của dư luận rằng 2 máy cài Bluezone đặt cạnh nhau nhưng số liệu ghi nhận “người dùng quanh bạn” lại khác nhau, đơn vị phát triển ứng dụng đã phản hồi rằng nguyên nhân là do máy không quét liên tục mà có chu kỳ nghỉ luân phiên để tiết kiệm năng lượng. Các máy khác nhau có khoảng thời gian hoạt động và nghỉ khác nhau.

Để Bluezone hoạt động được, người dùng cần luôn bật Bluetooth. Việc bật Bluetooth liên tục chỉ tiêu hao 10% pin mỗi ngày.

Ngoài ra, mã nguồn của ứng dụng Bluezone đã được đơn vị xây dựng đưa lên GitHub để cộng đồng kiểm chứng và góp ý.

Trước những thắc mắc rằng dữ liệu nhạy cảm có thể bị đơn vị thực hiện Bluezone nắm giữ, trả lời báo chí, ông Nguyễn Tử Quảng - CEO BKAV - nói rằng Bluezone đảm bảo tính riêng tư của người dùng. Ứng dụng này không ghi nhận danh tính, số điện thoại và vị trí của những người từng tiếp xúc. Nó chỉ ghi nhận mã số của người tiếp xúc và mã số này liên tục thay đổi mỗi 15 phút.

Cục Tin học hóa – Bộ Thông tin và Truyền thông (đơn vị đầu mối hướng dẫn, chỉ đạo xây dựng phần mềm) cũng đã phát hành một thông cáo, nêu rõ cơ quan hữu trách trân trọng những ý kiến đóng góp của cộng đồng đối với ứng dụng Bluezone, khuyến khích những ý kiến đóng góp mang tính xây dựng thay vì những phản ánh gây hoang mang dư luận.

Trao đổi với VietTimes, ông Nguyễn Thế Hùng, Giám đốc công ty VINADES (Công ty CP Phát triển nguồn mở Việt Nam) đồng thời là Phó Chủ tịch VIFOSSA (Câu lạc bộ Phần mềm Tự do nguồn mở Việt Nam), nhận xét rằng hiện tại bản Bluezone chạy trên Android rất ổn định, cài đặt khá dễ dàng. Có một số người gặp trục trặc nhỏ trong quá trình xác thực mã đăng ký (phải xác thực 2 lần mới thành công), có lẽ là do lỗi tổng đài. Còn phiên bản iOS đội ngũ lập trình ghi nhận lỗi hoạt động không ổn định, đang tiến hành vá lỗi.

“Là người được VFOSSA cử tham gia hỗ trợ nhóm phát triển Bluezone mở mã hóa nguồn theo đề nghị của  Cục Tin học hóa, cá nhân tôi thấy ứng dụng đã được nhóm phát triển cải thiện nhiều theo góp ý của các chuyên gia an ninh mạng và các nhà khoa học trong và ngoài nước” - ông Nguyễn Thế Hùng nói.

Ông Hùng nói thêm rằng người dùng có quyền nghi ngại, nhà phát triển thì phải có nghĩa vụ chứng minh ứng dụng an toàn. Ông đánh giá nhóm phát triển làm việc khá cầu thị, tuy nhiên khâu phản hồi và tương tác đối với các góp ý của cộng đồng trên kho code chưa tốt. Có lẽ đây là gốc rễ khiến người dùng còn thấy nghi ngờ.

Đối với anh Dương Ngọc Thái, trong bài trả lời phỏng vấn BBC gần đây, anh nói rằng sau khi xem xét phiên bản Bluezone mới nhất (2.0.4 phát hành ngày 4/8/2020), anh đã thấy Bluezone đã được sửa chữa những lỗ hổng quan trọng nhất mà anh đã phản ánh hồi tháng 4. Ngoài ra, nhờ sự thuyết phục của giáo sư Phan Dương Hiệu ở Pháp, Bluezone cũng đã khắc phục một nhược điểm quan trọng khác. Tuy nhiên, anh Dương Ngọc Thái vẫn băn khoăn về khả năng bảo vệ dữ liệu của đơn vị triển khai Bluezone.

Vậy có nên cài Bluezone không?

Rất nên! Mặc dù Bluezone không phải là khẩu trang điện tử (như câu slogan trên ứng dụng), không ngăn chặn được người dùng bị nhiễm Covid-19 như một vài người lầm tưởng, nhưng nó là một giải pháp hữu hiệu để chính phủ có thể tìm ra và cách ly một cách nhanh chóng những người có tiếp xúc với bệnh nhân, tránh phụ thuộc vào trí nhớ của người bệnh (đã từng đi đâu, gặp ai).

Đơn vị phát triển Bluezone nói rằng cần 60% dân số, tương đương với khoảng 45-50 triệu người, cài đặt Bluezone thì ứng dụng mới hoạt động hiệu quả. Càng nhiều người cài đặt Bluezone thì hiệu quả bảo vệ càng cao.

Người dùng có nên nghi ngại, không cài đặt Bluezone? ảnh 3

Cũng giống như Việt Nam, ở Singapore sau khi một phần năm dân số cài đặt ứng dụng truy vết Trace Together, Thủ tướng Singapore Lý Hiển Long đã lên tiếng kêu gọi người dân bỏ qua những nghi ngại về quyền riêng tư, tiếp tục cài đặt ứng dụng để giúp chính phủ ngăn chặn dịch hiệu quả.

Ông Hà Anh Đức, Chánh văn phòng Bộ Y tế nói rằng khi hết dịch Covid-19, ứng dụng này sẽ bị xóa bỏ hoặc có thể được sử dụng để kiểm soát các bệnh truyền nhiễm khác. Ngoài cài đặt Bluezone, người dân cũng cần cài đặt ứng dụng NCOVI để khai báo y tế.

Một chuyên gia CNTT nói với VietTimes rằng mục tiêu của chính phủ khi xây dựng Bluezone là rất nhân văn, nhằm khống chế được dịch. Mặc dù còn một vài lỗi vì đây là lần đầu tiên một ứng dụng như vậy được phát triển, nhưng tác dụng của nó đối với công tác phòng dịch là rất hiệu quả.

Theo số liệu từ Cục Tin học hóa, ngày 13/8 vừa qua, trên tập 17 ca nhiễm và nghi nhiễm ở Đà Nẵng và Hà Nội, Bluezone đã giúp phát hiện 82 trường hợp F1 và F2 nằm ngoài danh sách truy vết truyền thống.