Việc tải danh bạ người dùng lên máy chủ ban đầu được phát hiện bởi nhà nghiên cứu Ryan M. Montgomery với phiên bản Pi Network dành cho iOS. Mới đây, hai nhà nghiên cứu bảo mật Phạm Tiến Mạnh và Dương Tiểu Đồng đến từ nhóm Chống lừa đảo của Việt Nam phân tích phiên bản Pi Network trên Android và cũng phát hiện vấn đề tương tự. Thậm chí ở phát hiện mới, Pi Network còn lưu trữ danh bạ ngay cả khi người dùng hủy tài khoản.
Phiên bản mà hai nhà nghiên cứu sử dụng là Pi Network 1.30.3 được cập nhật ngày 4/3 - mới nhất trên Android. Sau khi khởi động, app truy cập một số dữ liệu trên máy, gồm tên thiết bị, loại kết nối, bộ nhớ trống.
Trên ứng dụng Pi Network có tính năng "Nhóm khai thác". Người dùng Pi được khuyến khích khai thác theo nhóm để tăng tốc độ nhận Pi, cũng như tạo "Vòng tròn bảo mật". Để mời người khác vào nhóm, người dùng có thể lựa chọn như gửi qua Facebook hoặc mời bạn bè trên danh bạ.
Pi Network yêu cầu truy cập danh bạ. Ảnh: Lưu Quý
Theo nghiên cứu của Mạnh và Đồng, ngay khi cấp quyền truy cập danh bạ lần đầu tiên, ứng dụng sẽ tải toàn bộ danh bạ của người dùng lên máy chủ. Đồng thời, mỗi lần người dùng truy cập tính năng nhóm, Pi Network lại gửi một bản cập nhật của danh bạ lên.
Theo đánh giá của các nhà phát triển Android, việc cho phép truy cập danh bạ là một trong những quyền tương đối cao, được xếp hạng "nguy hiểm" trên thang đo mức độ an toàn của một ứng dụng. Ứng dụng chỉ có quyền làm vậy khi được phép của người dùng.
Tuy nhiên, vấn đề nghiêm trọng hơn mà hai nhà nghiên cứu Việt Nam chỉ ra là cách quản lý dữ liệu của Pi Network "yếu kém", dẫn đến danh bạ vẫn tồn tại trên máy chủ ngay cả khi người dùng kết thúc phiên sử dụng hoặc thậm chí xóa tài khoản.
Thông thường khi người dùng đăng xuất, đổi mật khẩu, xóa tài khoản, token xác thực của người dùng cũng sẽ bị xóa hoặc vô hiệu hóa. Tuy nhiên trong thử nghiệm, token xác thực này vẫn hợp lệ và có thể dùng để truy xuất dữ liệu. Ở tình huống người dùng không muốn sử dụng Pi Network và mong muốn xóa toàn bộ tài khoản cũng như dữ liệu, Pi Network chỉ xóa số đồng tiền Pi trong tài khoản còn vẫn giữ lại danh bạ.
"Chúng tôi thử gửi yêu cầu truy xuất danh bạ sau khi đã xóa tài khoản. Sau một số lần báo lỗi 401, máy chủ đã gửi lại dữ liệu này. Đây là một lỗi bảo mật cơ bản, chứng tỏ nhà phát triển chưa đầu tư nhiều về bảo mật", Phạm Tiến Mạnh nhận định.
Pi Network thông báo người dùng sẽ mất toàn bộ Pi nếu xóa tài khoản, trong khi danh bạ của người dùng vẫn có thể truy xuất. Ảnh: Cu64.
Trong trả lời với nhà nghiên cứu bảo mật Ryan M. Montgomery hồi tháng 4, đội phát triển Pi giải thích việc tải danh bạ người dùng lên máy chủ là để "giúp người dùng tìm danh bạ để đưa vào vòng tròn bảo mật". Theo các chuyên gia bảo mật đến từ nhóm Chống lừa đảo, việc ứng dụng lấy thông tin danh bạ của người dùng đưa lên máy chủ tiềm ẩn nguy cơ mất thông tin không chỉ của những người sử dụng, mà của cả người thân, bạn bè trong danh bạ cũng bị ảnh hưởng gián tiếp.
Pi Network là nền tảng tiền ảo xuất hiện từ năm 2019, rộ lên tại Việt Nam đầu năm 2021. Sau khi tải ứng dụng lên smartphone, người dùng sẽ được tặng các đồng Pi với điều kiện cần vào điểm danh mỗi ngày. Nhiều người Việt Nam tham gia ứng dụng này với suy nghĩ "không mất gì mà vẫn có tiền" nếu sau này đồng Pi có giá trị. Hiện nay, giá của đồng Pi vẫn bằng 0 do chưa thể thực hiện giao dịch. Nền tảng này cũng bị nhiều chuyên gia bảo mật đánh giá là thiếu minh bạch, do không công bố mã nguồn.
Mới đây, Pi cũng bị nhắc tên trong vụ việc hàng nghìn chứng minh nhân dân của người Việt bị rao bán. Nhưng các nhà phát triển Pi phủ nhận bởi Pi chỉ dùng hộ chiếu để xác thực thông tin người dùng.