Sau 1 năm xuất hiện tại thị trường trong nước, ứng dụng Pi Network đang có rất nhiều người dùng tại Việt Nam. Phần lớn những người ủng hộ Pi tin rằng chỉ dành ra vài phút mỗi ngày để "đào" Pi trên điện thoại, họ có cơ hội sở hữu khối tài sản lớn sau này nếu đồng Pi được lưu hành và tăng giá như Bitcoin hiện nay.
Tưởng như App này vô hại nhưng người dùng đã nhầm, mới đây, một nhóm nghiên cứu bảo mật đã chỉ ra lỗ hổng mà họ gọi là "gót chân Achilles" của ứng dụng Pi: Đó là thu thập dữ liệu người dùng, gửi lên máy chủ nhưng quản lý không tốt.
Sáng 18/5, 2 nhà nghiên cứu bảo mật là manhnho và Cu64 của dự án Chống lừa đảo đã có bài đăng phân tích ứng dụng Pi Network phiên bản 1.30.3 trên hệ điều hành Android, được tải về từ Play Store.
Theo đó, App Pi có một tính năng gọi là Nhóm khai thác. Trong mục này, người dùng có thể mời bạn bè mình sử dụng Pi. Nếu chọn tính năng Mời, ứng dụng sẽ yêu cầu quyền truy cập danh bạ trên điện thoại.
Theo nhóm nghiên cứu, sau khi bấm đồng ý, Pi sẽ gửi danh bạ trong máy lên máy chủ. Sau đó, mỗi lần truy cập mục Nhóm khai thác, ứng dụng lại gửi một bản cập nhật của danh bạ.
Thé nhưng, vấn đề nằm ở hệ thống quản lý dữ liệu của người dùng. Khi người sử dụng lựa chọn xóa tài khoản Pi, đúng ra các dữ liệu liên quan đến họ, bao gồm cả danh bạ, cũng phải được xóa đi trên máy chủ. Tuy nhiên, họ có thể khôi phục dữ liệu này.
Bằng cách lấy token xác thực của ứng dụng và gửi yêu cầu lên máy chủ, 2 nhà nghiên cứu đã lấy lại được toàn bộ danh bạ mà ứng dụng Pi đã tải lên, ngay cả khi họ đã thực hiện yêu cầu xóa tài khoản của mình.
