Các ứng dụng tự động lấy dữ liệu trong clipboard của iPhone bị đánh giá nguy hiểm về mặt bảo mật, nhưng giúp nhà sản xuất cải thiện trải nghiệm người dùng.
Sau khi iOS 14 beta được phát hành, người dùng iPhone phát hiện ra một số ứng dụng tự động lấy dữ liệu trong bộ nhớ tạm (clipboard) của máy. Nếu người dùng sử dụng tính năng copy đoạn văn bản, sau đó khởi động ứng dụng, iPhone sẽ hiển thị thông báo “Ứng dụng pasted from” ngay cả khi người dùng chưa thực hiện lệnh dán. Điều này có nghĩa là ứng dụng tự động lấy dữ liệu trong clipboard ngay cả khi người dùng chưa đồng ý.
Nhiều ứng dụng phổ biến tại Việt Nam bị phát hiện lấy dữ liệu trong bộ nhớ tạm iPhone.
Từ khi được phát hiện hồi đầu năm nay, việc tự động lấy dữ liệu clipboard này đã tạo ra những ý kiến trái chiều.
Theo Mysk, nhà bảo mật đầu tiên phát hiện ra điều này và gửi cảnh báo đến Apple hồi tháng 1/2020, Apple khi đó cho biết “họ không nhận thấy vấn đề gì với lỗ hổng này”. Từ đó đến nay, các ứng dụng trên iOS và iPadOS vẫn có quyền truy cập không hạn chế vào clipboard của hệ thống. Dù không thừa nhận lỗ hổng, trong bản beta của iOS 14, Apple lại âm thầm bổ sung tính năng hiển thị thông báo với việc paste dữ liệu.
Khắp các diễn đàn trên thế giới, một luồng ý kiến cho rằng các ứng dụng dùng clipboard nhằm giúp cải thiện trải nghiệm người dùng. Chẳng hạn Apollo for Reddit – một ứng dụng chuyên lấy lại các chủ đề trên mạng xã hội Reddit nhưng có thiết kế đẹp và tiện lợi hơn, cũng bị phát hiện tự động lấy dữ liệu trong clipboard. Tuy nhiên, đơn vị phát triển ứng dụng cho là việc này nhằm giúp app phát hiện khi người dùng copy một liên kết nào từ Reddit để đưa ra gợi ý chủ đề phù hợp.
Zalo chưa đưa ra trả lời về mục đích của việc tự động dán dữ liệu, nhưng nhiều người dùng cho biết chỉ cần copy số điện thoại nào đó, Zalo sẽ tự động tìm và đưa ra gợi ý kết bạn, hoặc khi copy một liên kết từ trình duyệt, ứng dụng cũng hiển thị bản xem trước để người dùng duyệt trước khi gửi tin nhắn.
Một số ứng dụng ngân hàng cũng sử dụng tính năng tự động dán dữ liệu trong clipboard khi người dùng cần nhập mã OTP. Nhiều ứng dụng từ điển tự động tra cứu nếu phát hiện trong clipboard có đoạn văn bản chứa tiếng nước ngoài. Từ đó, giúp người dùng giảm một số thao tác.
Phan Anh (Hà Nội), một người dùng iOS nhiều năm cho biết, anh khá bất ngờ trước việc nhiều ứng dụng tự động lấy dữ liệu trong clipboard, nhưng anh lại cho rằng điều đó không quá nghiêm trọng. “Chỉ khi cần ‘paste’ văn bản thì tôi mới ‘copy’, nên các dữ liệu đó nếu không bị ‘paste’ vào ứng dụng này thì cũng ‘paste’ vào ứng dụng khác. Dữ liệu trên smartphone vốn đã rất khó bảo vệ, vì vậy nếu được đánh đổi bằng trải nghiệm tốt hơn thì cũng có thể chấp nhận”, anh nói.
Zalo liên tục lấy dữ liệu trong bộ nhớ iPhone khi người dùng mở app.
Tuy nhiên, việc phải đánh đổi thông tin cá nhân để lấy trải nghiệm cũng khiến nhiều người không hài lòng, đặc biệt khi họ không được lựa chọn mà buộc phải chấp nhận các điều khoản nhà phát triển đưa ra.
“Người dùng ngày nay đang ở vai trò ‘bị ép’ phải cho lấy dữ liệu, bởi nếu không cho, họ có thể không sử dụng ứng dụng được nữa”, anh Bùi An, quản trị viên một diễn đàn công nghệ lớn tại Việt Nam nhận định. Theo anh An, cho dù các nhà phát triển luôn khẳng định sẽ tôn trọng dữ liệu của người dùng, nhưng một khi dữ liệu và tay họ, sẽ rất khó biết chúng sẽ được sử dụng như thế nào.
Nhiều độc giả của VnExpress cũng không đồng tình với cách làm của các ứng dụng hiện nay và cho rằng điều đó đã vi phạm quyền riêng tư của người dùng.
“Quyền riêng tư phải được hiểu là: Cái gì của tôi là của tôi. Không ai được động vào khi chưa có sự đồng ý”, tài khoản Htpcty bình luận trong bài “Nhiều ứng dụng tại Việt Nam tự động lấy dữ liệu iPhone“. Người này cũng cho rằng, điều đáng lên án là các ứng dụng đã lấy thông tin của người dùng một cách âm thầm, không thông báo. “Đây là sự bất bình đẳng giữa đơn vị phát triển và người dùng, xâm phạm quyền riêng tư của người dùng” tài khoản này bình luận.
Nhiều người cũng chỉ trích Apple vì “thả cửa” cho các ứng dụng tự động lấy dữ liệu trong clipboard mà không thông báo trong điều khoản sử dụng.
Ông Nguyễn Minh Đức, Giám đốc công ty cổ phần An toàn thông tin CyRadar, nhận định việc này có thể dẫn đến nguy cơ rò rỉ dữ liệu một cách không mong muốn, kéo theo những hậu quả nghiêm trọng, không thể lường trước. “Có thể hiểu đơn giản là mọi ký tự bạn gõ, mọi file bạn xử lý, mọi trang web bạn duyệt… đều có thể bị đọc được bởi một ứng dụng độc hại”, ông Đức nói.
Clipboard là vùng nhớ, lưu trữ dữ liệu tạm thời của người dùng. Chẳng hạn ứng dụng chỉnh sửa ảnh có thể lưu trữ ảnh, ứng dụng Gọi xe có thể lưu trữ dữ liệu về vị trí của thiết bị trong clipboard… Việc các app đọc dữ liệu của nhau, dẫn đến thông tin riêng tư của người sử dụng hoàn toàn có thể bị lộ cho bên thứ ba.
Ông Võ Đỗ Thắng, Giám đốc trung tâm bảo mật Athena nhận định, việc ứng dụng tự lấy dữ liệu trong bộ nhớ tạm khi chưa được phép, người dùng không biết dữ liệu này sẽ được sử dụng như thế nào là nguy hiểm. “Điều này tạo ra nhiều nguy cơ về mặt bảo mật, đặc biệt nếu các dữ liệu được copy đó là tên đăng nhập, mật khẩu, hay mã OTP ngân hàng”, ông nói.
Đến ngày 30/6, 24 trên tổng số 53 ứng dụng bị nhà bảo mật Mysk phát hiện lấy dữ liệu từ clipboard, đã phải cập nhật để bỏ tính năng này, bao gồm Viber, TikTok, PUBGMobile… Mới đây, Reddit và LinkedIn cũng đã thông báo sẽ tung ra bản cập nhật để loại bỏ việc tự động copy clipboard. Một số ứng dụng phổ biến tại Việt Nam cũng đang trong quá trình rà soát.
Lưu Quý
