Nhiều chuyên gia khẳng định: Ứng dụng Pi Network đánh cắp thông tin người dùng ngay cả khi đã xoá app
Trong vụ rao bán 10.000 thông tin cá nhân rầm rộ mới đây, Pi Network đang là cái tên gây nhiều nghi vấn nhất.
Nổi lên từ tháng 3/2020, ứng dụng Pi Network đang sở hữu số lượng người chơi khổng lồ tại Việt Nam. Phần lớn người dùng tin rằng chỉ dành ra vài phút mỗi ngày để "đào" Pi trên điện thoại, họ có cơ hội sở hữu khối tài sản lớn sau này nếu đồng Pi lưu hành và tăng giá.
Theo chia sẻ của Ngô Minh Hiếu (Hiếu PC), hai nhà nghiên cứu bảo mật là Tiến Mạnh Phạm và Dương Đồng (thành viên dự án Chống lừa đảo) đã phân tích ứng dụng Pi Network phiên bản 1.30.3 trên hệ điều hành Android, được tải về từ Play Store. Và nghiên cứu đã phát hiện ra rằng "ứng dụng Pi Network lấy danh bạ người dùng, kể cả khi xoá tài khoản".
Theo nhóm nghiên cứu, sau khi bấm đồng ý, ứng dụng Pi sẽ gửi danh bạ trong máy lên máy chủ. Sau đó, mỗi lần truy cập mục Nhóm khai thác, ứng dụng lại gửi một bản cập nhật của danh bạ. Và thậm chí ngay cả khi người dùng lựa chọn xóa tài khoản Pi, thì các dữ liệu về danh bạ cũng không "biến mất" mà có thể khôi phục lại dữ liệu một cách dễ dàng.
Bằng cách lấy token xác thực của ứng dụng và gửi yêu cầu lên máy chủ, hai nhà nghiên cứu đã lấy lại được toàn bộ danh bạ mà ứng dụng Pi đã tải lên, ngay cả khi họ đã thực hiện yêu cầu xóa tài khoản của mình.
Ngoài ra, trong vụ rao bán thông tin cá nhân của 10.000 người trên diễn đàn R***forums của giới hacker, tài khoản đăng bán - Ox1337xO đã làm lộ 1 dòng thông tin đáng chú ý, "all data it from Pi Network". Điều này càng khiến mọi người nghi ngờ các dữ liệu này được tuồn ra từ ứng dụng tiền số đáng ngờ này.
Cũng vào thời điểm trên, trao đổi với báo chí, chuyên gia bảo mật Võ Đỗ Thắng - Giám đốc Trung tâm An ninh mạng Athena - cho rằng: “Cho đến thời điểm này chưa thấy người nào liên hệ đưa ra bằng chứng tố Pi Network lừa đảo. Tuy nhiên, ở góc độ bảo mật đương nhiên là có nhiều vấn đề cần lưu ý”. Ông Thắng giải thích thêm, những ứng dụng đào tiền số đa cấp thiếu thông tin minh bạch như Pi Network là rất đáng ngờ, và đối tượng vận hành ứng dụng này có rất nhiều cách để thu thập dữ liệu cá nhân của người dùng. Trong khi đó, sự hứa hẹn về việc đào được tiền ảo và lợi nhuận chẳng những không rõ ràng, mà còn rất xa vời.
