Ứng dụng PC-Covid tuyệt đối không thu thập thông tin người dùng ngoài phục vụ mục đích chống dịch

(Mic.gov.vn) - 

Trước những băn khoăn của người dân, của xã hội về việc ứng dụng PC-Covid có thu thập thông tin người dùng ngoài phục vụ mục đích chống dịch hay không, Cục An toàn thông tin dưới sự chỉ đạo của lãnh đạo Bộ TT&TT sau khi mời đánh giá độc lập của các đơn vị liên quan, gồm: Bộ Công an (A05), Bộ tư lệnh Tác chiến không gian mạng (Bộ Quốc phòng) và Hiệp hội an toàn thông tin (VNISA) khẳng định: Tất cả những tính năng của ứng dụng PC-Covid yêu cầu bốn quyền thì không có một dòng lệnh, một tính năng nào khai thác dữ liệu của người dùng ngoài mục đích duy nhất là phục vụ phòng chống dịch. 


Đó là khẳng định của ông Trần Nguyên Chung, Trưởng Phòng An toàn hệ thống thông tin, Cục An toàn thông tin (Bộ TT&TT) tại buổi Tọa đàm các quyền PC-Covid yêu cầu người dùng cần cấp khi sử dụng tổ chức sáng ngày 7/10/2021 tại Hà Nội. 

Ông Trần Nguyên Chung cho biết, hôm qua, ngày 06/10/2021, Trung tâm Công nghệ phòng, chống dịch Covid-19 quốc gia và Cục An toàn thông tin đã mời Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao - A05 (Bộ Công an), Bộ tư lệnh Tác chiến không gian mạng (Bộ Quốc phòng), Hiệp hội An toàn thông tin Việt Nam (VNISA) tham gia kiểm tra, đánh giá về các quyền mã nguồn của ứng dụng PC-Covid. Các bên tham gia đánh giá mã nguồn đều thống nhất: Ứng dụng PC-Covid thu thập thông tin người dùng chỉ phục vụ duy nhất cho công tác phòng chống dịch. Ứng dụng PC-Covid không khai thác vị trí của người dùng; không đọc các nội dung thông báo của người dùng. PC-Covid là ứng dụng của cơ quan nhà nước, tuân thủ các quy định của pháp luật và TUYỆT ĐỐI KHÔNG khai thác thông tin SMS, OTT của người dùng.

20211007-pg1-tc.jpg

Toàn cảnh Tọa đàm

Trong quá trình phát triển ứng dụng, PC-Covid luôn có được sự quan tâm, đồng hành và tham gia kiểm soát về an toàn, bảo mật thông tin nói chung, kiểm soát về quyền và việc sử dụng quyền nói riêng của các cơ quan chức năng có thẩm quyền, gồm có Cục An toàn thông tin (Bộ Thông tin và Truyền thông), Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an), Bộ tư lệnh Tác chiến không gian mạng (Bộ Quốc phòng), Hiệp hội An toàn thông tin Việt Nam và của đông đảo các chuyên gia về an toàn, an ninh mạng Việt Nam.

Đồng tình với khẳng định của vị đại diện Cục An toàn thông tin, Bộ TT&TT, ông Nguyễn Trọng Thái, Trưởng phòng ATTT, Bộ tư lệnh Tác chiến không gian mạng, Bộ Quốc phòng, một đơn vị tham gia đánh giá độc lập ứng dụng PC-Covid, cho biết, chúng tôi đã thực hiện kiểm tra một cách bài bản, cử những cán bộ có chuyên môn cao, có kinh nghiệm, phối hợp với nhà phát triển kiểm tra phần mềm đóng gói cài đặt, mã nguồn của nhà phát triển, kiểm tra thông qua các công cụ tự động tốt nhất. 

Qua đó chúng tôi thấy rằng, “những tính năng này phù hợp với yêu cầu phòng chống dịch hiện nay, nếu bỏ đi tính năng nào thì bức tranh phòng chống dịch sẽ không toàn diện, không thể hiệu quả được. Những tính năng này đều có trong các  ứng dụng khác như Zalo, Viber…”, ông Nguyễn Trọng Thái khẳng định. 

20211007-pg1-BQP.jpg

 Ông Nguyễn Trọng Thái, Trưởng phòng ATTT, Bộ tư lệnh Tác chiến không gian mạng, Bộ Quốc phòng

Không có bằng chứng nào về dòng lệnh hay module nào thu thập thông tin cá nhân người dùng không phục vụ cho hoạt động phòng chống dịch. Ứng dụng PC-Covid thực sự an toàn về mặt ATTT, an ninh thông tin, đại diện Bộ Quốc phòng cho biết thêm.

Ông Nguyễn Trọng Thái giải thích, mỗi hệ điều hành có một cách cư xử riêng, giống như khi có một người đi qua cổng, thiết bị an ninh cảnh báo ngay là người này có thể vào lấy đồ vật gì của gia chủ. Sự thật là người khách chỉ vào gặp chủ nhà bàn công việc rồi ra về, không làm tổn hại gì đến chủ nhà và  đến chơi theo lời mời của chủ nhà. Tương tự như vậy, mỗi hệ điều hành sẽ có cách cư xử, cảnh báo khác nhau để thông báo cho người dùng. Các cơ quan chức năng cũng đã vào cuộc kiểm tra và có biên bản đánh giá rõ ràng nên người dân hoàn toàn yên tâm sử dụng ứng dụng PC-Covid. 

Cơ chế kiểm soát quyền của các hệ điều hành

Liên quan đến cơ chế kiểm soát quyền của các hệ điều hành, đại diện Cục An toàn thông tin, Bộ TT&TT giải thích, trong cơ chế kiểm soát các quyền của hệ điều hành, các quyền này thường được tổ chức và cấp thành các cụm quyền. Ví dụ như quyền sử dụng Bluetooth và quyền truy cập vị trí là 2 quyền thường gắn với nhau trong một cụm quyền (với hệ điều hành android).

20211007-pg1-CATTTT.jpg

Ông Trần Nguyên Chung, Trưởng Phòng An toàn hệ thống thông tin, Cục An toàn thông tin (Bộ TT&TT)

Khi app PC-Covid hoặc bất kỳ một app nào khác sử dụng đến một trong các quyền có liên quan, hệ điều hành sẽ hỏi người dùng xem có đồng ý cấp cả cụm quyền hay không. Ví dụ, PC-Covid chỉ cần quyền truy cập ảnh để lưu mã QR (một tiện ích cho người dân trong quá trình sử dụng) nhưng khi đó Hệ điều hành sẽ có những cảnh báo đến người dùng về việc sử dụng cả cụm quyền liên quan đến “ảnh, âm thanh, video và tệp”. Mỗi hệ điều hành sẽ có các thông điệp cảnh báo khác nhau, có thể chỉ nêu ngắn gọn các quyền đang được xin hoặc cũng có thể cảnh báo cụ thể kèm minh hoạ một số nguy cơ có thể xảy ra.

Tất cả các quyền mà mỗi app xin được cấp đều sẽ được hệ điều hành thông báo rõ trước khi người dùng xác nhận. Các quyền này đều được Google và Apple kiểm duyệt rất kỹ trước khi cho phát hành trên App Store và Google Play.

Đối với PC-Covid, điều khoản sử dụng được công bố tại: https://pccovid.gov.vn/dieu-khoan-su-dung

Các quyền PC-Covid cần được người dùng cho phép và mục đích xin quyền

PC-Covid cần được cấp 4 quyền như sau:

1. Quyền sử dụng Bluetooth

PC-Covid ghi nhận tiếp xúc gần bằng công nghệ Bluetooth năng lượng thấp (BLE) và cần được cấp quyền này để có thể thực hiện chức năng nói trên. Người dùng có thể lựa chọn có hoặc không sử dụng chức năng ghi nhận tiếp xúc gần. Trong trường hợp người dùng không sử dụng chức năng ghi nhận tiếp xúc gần, PC-Covid sẽ không hỏi và không cần được cấp quyền này.

Trên hệ điều hành Android, quyền sử dụng Bluetooth gắn liền với quyền truy cập vị trí thành một cụm quyền. Cụ thể, theo chính sách của Google, để ghi nhận tiếp xúc gần bằng công nghệ Bluetooth năng lượng thấp (BLE), ngoài việc bật Bluetooth cần quyền truy cập vị trí trên điện thoại. Xem thêm chính sách về quyền sử dụng tính năng Bluetooth tại: https://developer.android.com/guide/topics/connectivity/bluetooth

Trên hệ điều hành iOS, quyền sử dụng Bluetooth không gắn liền với quyền truy cập vị trí. Tuy nhiên, để tối ưu chức năng ghi nhận tiếp xúc gần, PC-Covid vẫn cần được cấp quyền truy cập vị trí. Cụ thể, theo chính sách của Apple, để ứng dụng hoạt động liên tục và quét tiếp xúc gần hiệu quả bằng việc hỗ trợ iBeacon, ứng dụng cần được cấp quyền truy cập vị trí trên điện thoại. Xem thêm chính sách về quyền sử dụng tính năng hỗ trợ iBeacon trong phát hiện tiếp xúc gần tại: https://developer.apple.com/documentation/corelocation/determining_the_proximity_to_an_ibeacon_device

Ngoài ra, ở phiên bản 4.0.3 trở về trước PC-Covid cung cấp chức năng để người dùng có thể gửi các phản ánh và hỗ trợ người dùng sử dụng lựa chọn vị trí hiện tại bằng cách khai thác quyền truy cập vị trí. Mục đích là để ý kiến phản ánh đó được gửi đến đúng cơ quan chức năng theo địa bàn quản lý (các xã, phường, thị trấn). Tuy nhiên, ở phiên bản 4.0.4, chức nay đã được loại ra khỏi PC-Covid để tránh những hiểu nhầm có thể xảy ra.

PC-Covid không khai thác vị trí của người dùng.

2. Quyền truy cập thông báo trên điện thoại cài hệ điều hành Android

Trên các hệ điều hành có gốc là Android (có thể có ngoại lệ), các ứng dụng (app) có thể bị dừng hoạt động vì nhiều lý do, PC-Covid cũng không ngoại lệ.

Để khắc phục vấn đề này, trên phiên bản Android, PC-Covid cần được cấp quyền truy cập thông báo (android.permission.BIND_NOTIFICATION_LISTENER_SERVICE). Nếu được người dùng chấp thuận, khi PC-Covid dừng hoạt động, hệ điều hành Android sẽ ngay lập tức lại gọi PC-Covid hoạt động trở lại, và thông báo về việc tái khởi động này cho PC-Covid.

Người dùng có thể lựa chọn có hoặc không cấp quyền này. Tuy nhiên, nếu không được cấp quyền truy cập thông báo, PC-Covid sẽ giảm tính ổn định.

PC-Covid không đọc các nội dung thông báo của người dùng.

Trên hệ điều hành Android, quyền truy cập thông báo nếu được cấp, ứng dụng có thể truy cập nội dung của các thông báo trên điện thoại, bao gồm tin nhắn SMS, tin nhắn OTT.

Trong cảnh báo mà một số phiên bản hệ điều hành gửi đến người dùng có thể kèm theo minh hoạ cụ thể về các nguy cơ khi cho ứng dụng khai thác quyền này.

Đặc biệt là việc truy cập nội dung tin nhắn SMS, tin nhắn OTT những ứng dụng xấu độc có thể khai thác ngầm các dữ liệu, thông tin nhạy cảm trong SMS, OTT của người dùng một cách phi pháp.

PC-Covid là ứng dụng của cơ quan nhà nước, tuân thủ các quy định của pháp luật và TUYỆT ĐỐI KHÔNG khai thác thông tin SMS, OTT của người dùng.

3. Quyền sử dụng camera

PC-Covid cần được cấp quyền truy cập Camera trên điện thoại để thực hiện chức năng quét mã QR và chức năng gửi phản ánh kèm theo video/hình ảnh.

4. Quyền truy cập ảnh, video, âm thanh và tệp

Ứng dụng PC-Covid sử dụng quyền này để cho phép lưu mã QR cá nhân trên PC-Covid về bộ nhớ điện thoại dưới dạng một tấm ảnh. Mục đích của việc cho phép lưu ảnh QR cá nhân là để người dùng có thể in ra giấy và mang theo cho bản thân hoặc cho người được khai hộ; có thể xuất trình ảnh ngay cả khi không sử dụng PC-Covid hoặc không có kết nối mạng Internet.

Ngoài ra, ở chức năng Gửi phản ánh, PC-Covid hỗ trợ người dùng việc chụp ảnh, quay video và truy cập thư viện ảnh để gửi kèm theo nội dung phản ánh. Việc gửi kèm theo ảnh chụp/ video sẽ hữu ích cho người tiếp nhận phản ánh xử lý thông tin, ví dụ như phản ánh có liên quan đến thông tin trên giấy chứng nhận tiêm chủng, giấy xét nghiệm…

Tuy nhiên, chức năng này chưa chính thức cung cấp trên PC-Covid.

Các cơ chế kiểm soát việc sử dụng quyền trên điện thoại của PC-Covid

Tất cả các quyền mà PC-Covid cần được cấp và sử dụng được kiểm soát chặt chẽ thông qua 4 cơ chế như sau:

1. Kiểm soát bởi hệ điều hành

Như đã đề cập phía trên, mọi quyền mà các ứng dụng trên điện thoại cần sử dụng đều phải được sự đồng ý của người dùng. Hệ điều hành kiểm soát sẽ có những thông báo đến người dùng một cách rõ ràng.

2. Kiểm soát bởi chợ ứng dụng (Apple Store và CH Play)

Trong quá trình phát triển và đưa lên các chợ ứng dụng, mỗi ứng dụng đều được kiểm soát trước khi xuất bản. Đặc biệt là với những ứng dụng có hàng chục triệu người dùng như PC-Covid, Apple và Google kiểm soát rất chặt chẽ và kỹ lưỡng việc tuân thủ các chính sách về quyền và sử dụng quyền để đảm bảo dữ liệu cá nhân của người dùng không bị xâm phạm (kiểm tra kỹ lưỡng từng đoạn mã, từng giao diện, từng hàm chức năng).

3. Kiểm soát bởi đội ngũ phát triển ứng dụng của Trung tâm Công nghệ phòng, chống dịch Covid-19 quốc gia

4. Kiểm soát bởi các cơ quan chức năng có thẩm quyền

 

 

 

Giang Phạm

Từ khóa: Bộ TT&TT, Bộ Công an, Bộ Quốc phòng, Hiệp hội an toàn thông tin, ứng dụng PC-Covid, an toàn thông tin, phòng chống dịch Covid-19

ĐÁNH GIÁ BÀI VIẾT( 3)