Pi Network - ứng dụng đào coin trên điện thoại lấy danh bạ người dùng, kể cả khi xóa tài khoản

Mới đây, một nhóm nghiên cứu bảo mật đã chỉ ra lỗ hổng mà họ gọi là "gót chân Achilles" của ứng dụng Pi: đó là thu thập dữ liệu người dùng, gửi lên máy chủ nhưng quản lý không tốt.

Sau 1 năm xuất hiện tại thị trường trong nước, ứng dụng Pi Network đang có rất nhiều người dùng tại Việt Nam. Phần lớn những người ủng hộ Pi tin rằng chỉ dành ra vài phút mỗi ngày để "đào" Pi trên điện thoại, họ có cơ hội sở hữu khối tài sản lớn sau này nếu đồng Pi được lưu hành và tăng giá như Bitcoin hiện nay.

Pi Network - ứng dụng đào coin trên điện thoại lấy danh bạ người dùng, kể cả khi xóa tài khoản 1
Dù đã xóa tài khoản, nhóm nghiên cứu chống lừa đảo vẫn có thể lấy lại dữ liệu danh bạ điện thoại từ máy chủ ứng dụng Pi. Ảnh: Github

Tưởng như App này vô hại nhưng người dùng đã nhầm, mới đây, một nhóm nghiên cứu bảo mật đã chỉ ra lỗ hổng mà họ gọi là "gót chân Achilles" của ứng dụng Pi: Đó là thu thập dữ liệu người dùng, gửi lên máy chủ nhưng quản lý không tốt.

Pi Network - ứng dụng đào coin trên điện thoại lấy danh bạ người dùng, kể cả khi xóa tài khoản 2
Theo các chuyên an ninh gia mạng, app Pi trên Android yêu cầu cung cấp ID thiết bị, quyền truy cập kho lưu trữ, đặc biệt là quyền "Lớp phủ màn hình" (draw over other apps) vốn có thể ăn cắp mật khẩu người dùng. Chức năng này rất quan trọng, nó cho phép ứng dụng đọc tin nhắn mã ngân hàng, đánh cắp mật khẩu. Ảnh minh hoạ

Sáng 18/5, 2 nhà nghiên cứu bảo mật là manhnho và Cu64 của dự án Chống lừa đảo đã có bài đăng phân tích ứng dụng Pi Network phiên bản 1.30.3 trên hệ điều hành Android, được tải về từ Play Store.

Theo đó, App Pi có một tính năng gọi là Nhóm khai thác. Trong mục này, người dùng có thể mời bạn bè mình sử dụng Pi. Nếu chọn tính năng Mời, ứng dụng sẽ yêu cầu quyền truy cập danh bạ trên điện thoại.

Theo nhóm nghiên cứu, sau khi bấm đồng ý, Pi sẽ gửi danh bạ trong máy lên máy chủ. Sau đó, mỗi lần truy cập mục Nhóm khai thác, ứng dụng lại gửi một bản cập nhật của danh bạ.

Pi Network - ứng dụng đào coin trên điện thoại lấy danh bạ người dùng, kể cả khi xóa tài khoản 3
Mặc dù ra đời từ năm 2019, dự án Pi Network cho đến nay vẫn chưa công khai mã nguồn mở, thậm chí chưa đưa vào hoạt động trên mạng chính thức (mainnet). Ảnh: FB

Thé nhưng, vấn đề nằm ở hệ thống quản lý dữ liệu của người dùng. Khi người sử dụng lựa chọn xóa tài khoản Pi, đúng ra các dữ liệu liên quan đến họ, bao gồm cả danh bạ, cũng phải được xóa đi trên máy chủ. Tuy nhiên, họ có thể khôi phục dữ liệu này.

Bằng cách lấy token xác thực của ứng dụng và gửi yêu cầu lên máy chủ, 2 nhà nghiên cứu đã lấy lại được toàn bộ danh bạ mà ứng dụng Pi đã tải lên, ngay cả khi họ đã thực hiện yêu cầu xóa tài khoản của mình.

Tin Liên Quan
Theo dõi Tinmoi.vn trên Tinmoi.vn - Google news
Theo tạp chí Người đưa tin - Link gốc
Bạn Có Thể Quan Tâm
Tin Đọc Nhiều
Cùng chuyên mục