PC-COVID trên thiết bị di động thông minh cần được cấp 4 quyền

Theo thống kê của Bộ Thông tin và Truyền thông, đến ngày 6/10, đã có hơn 50,3 triệu lượt cài đặt ứng dụng PC-COVID, trong đó, hơn 25,4 triệu ứng dụng đang hoạt động và có hơn 28 triệu ứng dụng đã có cập nhật số điện thoại di động.

Hiện nhiều tính năng của PC-COVID vẫn đang trong giai đoạn hoàn thiện. Trước lo ngại về bảo mật thông tin cá nhân của ứng dụng PC-COVID, ông Trần Nguyên Chung, Trưởng Phòng An toàn hệ thống thông tin, Cục An toàn thông tin, Bộ Thông tin và Truyền thông đã có trao đổi với phóng viên Thông tấn xã Việt Nam, làm rõ về các quyền ứng dụng PC-COVID yêu cầu người dùng cần cấp khi sử dụng. Sau đây là nội dung cuộc trao đổi.

* Phóng viên:Người dân khi tải và sử dụng ứng dụng PC-COVID đã nhận được yêu cầu cấp một số quyền trên thiết bị di động thông minh, điện thoại thông minh. Vì sao lại có yêu cầu cấp quyền này thưa ông?

*Ông Trần Nguyên Chung: Về mặt kỹ thuật, trong cơ chế kiểm soát các quyền của hệ điều hành trên thiết bị di động thông minh, một số quyền thường được tổ chức và cấp thành các cụm quyền. Ví dụ, quyền sử dụng Bluetooth và quyền truy cập vị trí là 2 quyền thường gắn với nhau trong một cụm quyền với hệ điều hành Android.

Bất kỳ một ứng dụng (app) nào, trong đó có cả app PC-COVID khi cần dùng đến tính năng Bluetooth hay tính năng cho phép truy cập vị trí khi sử dụng ứng dụng thì hệ điều hành Android trên thiết bị di động sẽ hỏi người dùng về việc đồng ý cấp quyền truy cập, sử dụng cho cả cụm quyền gồm cả dùng Bluetooth và truy cập vị trí.

Ứng dụng PC-COVID chỉ cần quyền truy cập ảnh để lưu mã QR là một tiện ích cho người dân trong quá trình sử dụng. Tuy nhiên, để truy cập vào kho ảnh, hệ điều hành trên thiết bị di động sẽ có những cảnh báo đến người dùng về việc sử dụng cả cụm quyền liên quan đến “ảnh, âm thanh, video và tệp file”.

Mỗi hệ điều hành sẽ có các thông điệp cảnh báo khác nhau, có thể chỉ nêu ngắn gọn các quyền đang được xin cấp hoặc cũng có thể cảnh báo cụ thể kèm minh hoạ một số nguy cơ có thể xảy ra.

Tất cả các quyền mà mỗi ứng dụng xin được cấp đều sẽ được hệ điều hành thông báo rõ trước khi người dùng xác nhận. Các quyền này đều được Google và Apple kiểm duyệt rất kỹ trước khi cho phát hành trên App Store và CH Play.

Đối với PC-COVID, điều khoản sử dụng được công bố tại địa chỉ: https://pccovid.gov.vn/dieu-khoan-su-dung.

Việc xin cấp quyền này về mặt kỹ thuật là hoàn toàn bình thường. Với các ứng dụng, để hoạt động đầy đủ các tính năng thì cần thiết xin cấp quyền, cụm quyền theo đúng yêu cầu kỹ thuật đã được quy định của các hệ điều hành và thiết bị.

*Phóng viên: Vậy ứng dụng PC-COVID cần được người dùng cho cấp những quyền nào và mục đích xin quyền của ứng dụng là gì?

*Ông Trần Nguyên Chung: Hiện ứng dụng PC-COVID khi cài đặt và sử dụng trên thiết bị di động thông minh cần được cấp 4 quyền.

Thứ nhất là quyền sử dụng bluetooth. Do PC-COVID ghi nhận tiếp xúc gần bằng công nghệ bluetooth năng lượng thấp (BLE) nên ứng dụng cần được cấp quyền này để có thể thực hiện chức năng ghi nhận tiếp xúc gần.

Tuy nhiên, người dùng có thể lựa chọn có hoặc không sử dụng chức năng ghi nhận tiếp xúc gần. Trong trường hợp người dùng không sử dụng chức năng ghi nhận tiếp xúc gần, PC-COVID sẽ không hỏi và không cần được cấp quyền này. Khi hoạt động, ứng dụng PC-COVID không khai thác vị trí của người dùng.

Trên hệ điều hành Android, quyền sử dụng bluetooth gắn liền với quyền truy cập vị trí thành một cụm quyền.

Cụ thể, theo chính sách của Google, để ghi nhận tiếp xúc gần bằng công nghệ bluetooth năng lượng thấp (BLE), ngoài việc bật bluetooth cần quyền truy cập vị trí trên thiết bị di động thông minh. (Tham khảo thêm chính sách về quyền sử dụng tính năng bluetooth tại địa chỉ: "https://developer.android.com/guide/topics/connectivity/bluetooth" – phóng viên).

Còn trên hệ điều hành iOS, quyền sử dụng bluetooth không gắn liền với quyền truy cập vị trí. Tuy nhiên, để tối ưu chức năng ghi nhận tiếp xúc gần, PC-COVID vẫn cần được cấp quyền truy cập vị trí.

Cụ thể, theo chính sách của Apple, để ứng dụng hoạt động liên tục và quét tiếp xúc gần hiệu quả bằng việc hỗ trợ iBeacon, ứng dụng cần được cấp quyền truy cập vị trí trên thiết bị di động thông minh.

(Tham khảo thêm chính sách về quyền sử dụng tính năng hỗ trợ iBeacon trong phát hiện tiếp xúc gần tại địa chỉ:

"https://developer.apple.com/documentation/corelocation/determining_the_proximity_to_an_ibeacon_device" - Phóng viên)

Ngoài ra, ở phiên bản 4.0.3 trở về trước, PC-COVID cung cấp chức năng để người dùng gửi các phản ánh, hỗ trợ người dùng sử dụng lựa chọn vị trí hiện tại bằng cách khai thác quyền truy cập vị trí.

Mục đích là để ý kiến phản ánh đó được gửi đến đúng cơ quan chức năng theo địa bàn quản lý (các xã, phường, thị trấn). Tuy nhiên, ở phiên bản 4.0.4, chức năng này đã được loại ra khỏi PC-COVID để tránh những hiểu nhầm có thể xảy ra.

Thứ hai là quyền truy cập thông báo trên thiết bị di động cài hệ điều hành Android. Trên hầu hết các hệ điều hành có gốc là Andoid, các ứng dụng có thể bị dừng hoạt động vì nhiều lý do. PC-COVID cũng không ngoại lệ.

Do vậy, để khắc phục vấn đề này, trên phiên bản Android, PC-COVID cần được cấp quyền truy cập thông báo. Nếu được người dùng chấp thuận, khi ứng dụng PC-COVID dừng hoạt động, hệ điều hành Android sẽ ngay lập tức yêu cầu PC-COVID hoạt động trở lại và thông báo về việc tái khởi động này.

Người dùng có thể lựa chọn có hoặc không cấp quyền này. Tuy nhiên, nếu không được cấp quyền truy cập  gửi thông báo, ứng dụng PC-COVID sẽ giảm tính ổn định; PC-COVID cũng không đọc các nội dung thông báo của người dùng.

Một lưu ý là trên hệ điều hành Android, quyền truy cập thông báo nếu được người dùng cấp, ứng dụng có thể truy cập nội dung của các thông báo trên điện thoại, bao gồm tin nhắn SMS qua số điện thoại đăng ký, tin nhắn thông báo trên ứng dụng (tin nhắn OTT). 

Trong cảnh báo mà một số phiên bản hệ điều hành gửi đến người dùng có thể kèm theo minh hoạ cụ thể về các nguy cơ khi người dùng cho phép ứng dụng khai thác quyền này.

Đặc biệt, với việc được phép truy cập nội dung tin nhắn SMS, tin nhắn OTT, những ứng dụng xấu độc có thể khai thác ngầm các dữ liệu, thông tin nhạy cảm trong SMS, OTT của người dùng một cách phi pháp.

Tuy nhiên, PC-COVID là ứng dụng của cơ quan nhà nước, nên tuân thủ các quy định của pháp luật và tuyệt đối không khai thác thông tin SMS, OTT của người dùng.

Thứ ba là quyền sử dụng camera. PC-COVID cần được cấp quyền truy cập camera trên điện thoại để thực hiện chức năng quét mã QR và chức năng gửi phản ánh kèm theo video, hình ảnh. 

Cuồi cùng, thứ 4 là quyền truy cập ảnh, video, âm thanh và tệp dữ liệu. Ứng dụng PC-COVID sử dụng quyền này để cho phép lưu mã QR cá nhân trên PC-COVID về bộ nhớ của thiết bị, điện thoại dưới dạng một tấm ảnh.

Mục đích của việc cho phép lưu ảnh QR cá nhân là để người dùng có thể in ra giấy và mang theo cho bản thân hoặc cho người được khai hộ; có thể xuất trình ảnh ngay cả khi không sử dụng PC-COVID hoặc không có kết nối mạng internet.

Ngoài ra, ở chức năng “Gửi phản ánh”, ứng dụng PC-COVID hỗ trợ người dùng việc chụp ảnh, quay video và truy cập thư viện ảnh để gửi kèm theo nội dung phản ánh. Việc gửi kèm theo ảnh chụp, video sẽ hữu ích cho người tiếp nhận phản ánh xử lý thông tin, ví dụ như phản ánh có liên quan đến thông tin trên giấy chứng nhận tiêm chủng, giấy xét nghiệm… Tuy nhiên, hiện chức năng này chưa chính thức cung cấp trên PC-COVID.

Vậy, PC-COVID đề nghị được cấp 4 quyền là quyền sử dụng bluetooth, quyền truy cập thông báo trên điện thoại cài hệ điều hành Android, quyền sử dụng camera, quyền truy cập ảnh, video, âm thanh và tệp file.

Đây là 4 quyền nhằm phục vụ an toàn trong công tác phòng chống dịch COVID-19 và đã được kiểm tra, đánh giá từ các đơn vị của Bộ Công an, Bộ Quốc phòng cũng như các chuyên gia an ninh mạng thuộc Hiệp hội An toàn thông tin.

*Phóng viên: Khi người dùng cấp quyền cho phép ứng dụng PC-COVID sử dụng các tính năng trên thiết bị di động thông minh, có cơ chế nào để kiểm soát việc PC-COVID sử dụng các quyền này không thưa ông?

*Ông Trần Nguyên Chung: Tất cả các quyền mà PC-COVID cần được cấp và sử dụng được kiểm soát chặt chẽ thông qua 4 cơ chế. Thứ nhất là được kiểm soát bởi hệ điều hành của thiết bị (gồm Android và IOS).

Mọi quyền mà các ứng dụng trên thiết bị di động thông minh cần sử dụng đều phải được sự đồng ý của người dùng và hệ điều hành kiểm soát sẽ có những thông báo đến người dùng một cách rõ ràng.

Thứ hai, các quyền được kiểm soát bởi 2 kho ứng dụng là Apple Store và CH Play. Trong quá trình phát triển và đưa lên các kho ứng dụng, mỗi ứng dụng đều được kiểm soát trước khi công khai xuất hiện.

Đặc biệt là với những ứng dụng có hàng chục triệu người sử dụng như PC-COVID, 2 hãng công nghệ lớn là Apple và Google thực hiện kiểm soát rất chặt chẽ và kỹ lượng việc tuân thủ các chính sách về quyền và sử dụng quyền để đảm bảo dữ liệu cá nhân của người dùng không bị xâm phạm.

Thứ ba là kiểm soát bởi đội ngũ phát triển ứng dụng của Trung tâm Công nghệ phòng, chống dịch COVID-19 quốc gia và thứ tư là kiểm soát bởi các cơ quan chức năng có thẩm quyền tại Việt Nam.

Trong quá trình phát triển ứng dụng, PC-COVID luôn được sự quan tâm, đồng hành và tham gia kiểm soát về an toàn, bảo mật thông tin nói chung, kiểm soát về quyền và việc sử dụng quyền nói riêng của các cơ quan chức năng có thẩm quyền, gồm: Cục An toàn thông tin (Bộ Thông tin và Truyền thông), Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an), Bộ tư lệnh Tác chiến không gian mạng (Bộ Quốc phòng), Hiệp hội An toàn thông tin Việt Nam và đông đảo các chuyên gia về an toàn, an ninh mạng Việt Nam.

Ngày 6/10, các chuyên gia công nghệ của các tổ chức trên đã đánh giá về các quyền mã nguồn của ứng dụng PC-COVID và đưa ra kết luận chưa phát hiện ứng dụng PC-COVID thu thập thông tin người dùng ngoài phạm vi thực hiện các chức năng phòng, chống dịch COVID.

Người dùng có thể yên tâm cài đặt và sử dụng PC-COVID, nếu phát hiện lỗi bảo mật, lỗi thông tin thì gửi cảnh báo để được các đơn vị công nghệ hỗ trợ từ chính ứng dụng PC-COVID hoặc tại địa chỉ https://bugrank.io/user/NCSC/policy./.

Đội ngũ chuyên gia công nghệ thực hiện PC-COVID đã và đang nỗ lực để ghi nhận phản hồi và hoàn thiện tính năng để PC-COVID hoạt động hiệu quả, hỗ trợ hữu hiệu cho công tác phòng, chống dịch COVID-19.

*Phóng viên: Trân trọng cảm ơn ông!