Siết tiêu chuẩn an toàn, điện thoại bị bẻ khóa khó qua 'cửa' ngân hàng số
Chuẩn bảo mật mới trong lĩnh vực ngân hàng số đang buộc smartphone phải đáp ứng yêu cầu về tính toàn vẹn hệ thống trước khi được phép giao dịch...
Từ ngày 1/3/2026, các thiết bị từng bị “bẻ khóa” có thể sẽ không còn truy cập được ứng dụng ngân hàng nếu không đáp ứng tiêu chuẩn an toàn mới. Quy định siết chặt bảo mật của Ngân hàng Nhà nước đặt ra yêu cầu kiểm soát nghiêm ngặt đối với tình trạng toàn vẹn của smartphone, buộc nhiều người dùng phải rà soát lại thiết bị đang sử dụng.
Trong bối cảnh giao dịch số ngày càng phổ biến, việc hiểu rõ điện thoại có từng bị “bẻ khóa” hay không trở thành vấn đề gắn trực tiếp với khả năng thực hiện các giao dịch tài chính hàng ngày.
ĐIỆN THOẠI BẺ KHÓA SẮP KHÔNG MỞ ĐƯỢC ỨNG DỤNG NGÂN HÀNG
Theo Thông tư số 77/2025/TT-NHNN của Ngân hàng Nhà nước, sửa đổi, bổ sung một số điều của Thông tư số 50/2024/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành ngân hàng, các ngân hàng phải triển khai biện pháp phòng, chống hành vi can thiệp trái phép vào ứng dụng ngân hàng trong đó có thiết bị từng bị "bẻ khóa".
Quy định này nhằm tăng cường an ninh mạng và bảo vệ tài sản của khách hàng trong bối cảnh giao dịch trực tuyến bùng nổ, trở thành kênh thanh toán thiết yếu.
Cụ thể, thông tư yêu cầu tổ chức tín dụng phải triển khai các giải pháp nhằm phòng, chống, phát hiện các hành vi can thiệp trái phép vào ứng dụng ngân hàng (Mobile Banking) đã cài đặt trong thiết bị di động của khách hàng. Đặc biệt, ứng dụng Mobile Banking phải tự động thoát hoặc dừng hoạt động và thông báo cho khách hàng lý do nếu phát hiện một trong 3 dấu hiệu.
Thứ nhất, có trình gỡ lỗi (debugger) được gắn vào hoặc môi trường có trình gỡ lỗi đang hoạt động, khi ứng dụng chạy trong môi trường giả lập (emulator)/máy ảo/thiết bị giả lập, hoạt động ở chế độ cho phép máy tính giao tiếp trực tiếp với thiết bị Android (Android Debug Bridge).
Thứ hai, phần mềm ứng dụng bị chèn mã bên ngoài ứng dụng khi đang chạy, thực hiện các hành vi như theo dõi các hàm được chạy, ghi lại log dữ liệu truyền qua các hàm, API…, phần mềm ứng dụng bị can thiệp, đóng gói lại.
Thứ ba, thiết bị đã bị "bẻ khóa" (phá khóa - root/jailbreak) hoặc bị mở khóa cơ chế bảo vệ (unlock bootloader).
Không chỉ đặt ra yêu cầu với thiết bị người dùng, thông tư 77 còn quy định trách nhiệm giám sát chặt chẽ đối với các tổ chức tín dụng. Theo đó, định kỳ tối thiểu 3 tháng một lần, đơn vị phát hành ứng dụng Mobile Banking phải thực hiện đánh giá an toàn, bảo mật cho phiên bản đang lưu hành để kịp thời phát hiện lỗ hổng.
Trong trường hợp phát hiện lỗ hổng bảo mật ở mức "Cao" hoặc "Nghiêm trọng", ngân hàng phải áp dụng biện pháp kiểm soát, bao gồm chặn giao dịch để ngăn ngừa tội phạm mạng lợi dụng tấn công.
Về thời hạn khắc phục, thông tư ấn định mốc thời gian rất gấp rút. Trong vòng 24 giờ, đơn vị phát hành phần mềm phải cập nhật phiên bản mới hoặc bản vá lỗi đối với các thành phần hệ thống có kết nối trực tiếp với Internet. Trong vòng 1 tháng phải thực hiện xong với các thành phần còn lại nếu lỗ hổng ở mức nghiêm trọng. Đối với thành phần còn lại nếu lỗ hổng ở mức cao, cần xử lý trong vòng 2 tháng.
Quy định trên sẽ chính thức có hiệu lực từ ngày 1/3/2026. Do đó, người dùng đang sử dụng các thiết bị đã can thiệp hệ thống hoặc cài đặt các phần mềm giả lập cần sớm khôi phục cài đặt gốc (hoặc chuyển sang thiết bị đạt chuẩn) để đảm bảo giao dịch tài chính không bị gián đoạn.
LÀM SAO BIẾT SMARTPHONE TỪNG BỊ BẺ KHÓA?
Về bản chất, root (trên Android) và jailbreak (trên iPhone) là hành vi giành quyền truy cập ở mức quản trị cao nhất của hệ thống. Theo tài liệu kỹ thuật của nền tảng bảo mật di động Talsec, việc cấp quyền “superuser” cho phép chỉnh sửa các tệp hệ thống, thay đổi cơ chế bảo mật và cài đặt phần mềm ngoài kho ứng dụng chính thức.
Điều này đồng nghĩa với việc thiết bị có thể dễ bị khai thác hơn nếu cài phải mã độc hoặc ứng dụng giả mạo. Đây cũng là lý do nhiều tổ chức tài chính tích hợp cơ chế phát hiện root/jailbreak để từ chối đăng nhập trên các thiết bị có nguy cơ cao.
Đối với điện thoại Android, dấu hiệu phổ biến nhất cho thấy máy từng bị root là sự xuất hiện của các ứng dụng quản lý quyền truy cập hệ thống như Magisk hoặc SuperSU.
Các ứng dụng này đóng vai trò kiểm soát quyền “su”, quyền quản trị cao nhất trên Android. Nếu các công cụ này còn tồn tại trong danh sách ứng dụng, khả năng cao thiết bị đã từng bị can thiệp.
Trang công nghệ bảo mật Certo Software cũng khuyến nghị có thể sử dụng các ứng dụng chuyên kiểm tra root như Root Checker để quét trạng thái hệ thống. Ứng dụng này thực hiện nhiều phép thử ở cấp hệ thống để xác định thiết bị có được cấp quyền superuser hay không.
Với điện thoại Android, có thể sử dụng các ứng dụng chuyên kiểm tra root như Root Checker để quét trạng thái hệ thống
Với người dùng có kiến thức kỹ thuật hơn, việc cài một ứng dụng terminal như Termux và thử thực thi lệnh “su” cũng có thể cho thấy thiết bị còn quyền root hay không. Nếu hệ thống trả về quyền truy cập ở mức cao nhất, điều đó cho thấy cơ chế bảo vệ gốc đã bị thay đổi.
Tuy nhiên, cần lưu ý rằng các công cụ root hiện đại có khả năng ẩn root nhằm qua mặt cơ chế phát hiện của ứng dụng tài chính. Các ứng dụng ngân hàng thường không chỉ dựa vào một kiểm tra đơn lẻ mà kết hợp nhiều phương pháp như kiểm tra tệp hệ thống, trạng thái bootloader và chữ ký phần mềm.
Trên iPhone, jailbreak là hình thức loại bỏ các hạn chế của hệ điều hành iOS để cài đặt ứng dụng ngoài App Store hoặc chỉnh sửa sâu vào giao diện và chức năng. Một trong những dấu hiệu dễ nhận biết nhất là sự tồn tại của các công cụ quản lý jailbreak như Cydia hoặc Sileo.
Trên iPhone, một trong những dấu hiệu dễ nhận biết nhất là sự tồn tại của các công cụ quản lý jailbreak như Cydia hoặc Sileo
Theo phân tích của hãng bảo mật Clario, việc các ứng dụng này xuất hiện gần như chắc chắn đồng nghĩa thiết bị đã từng bị jailbreak. Ngoài ra, một số công cụ quét bảo mật trên iOS cũng có thể phát hiện các tệp hệ thống bất thường hoặc cấu hình còn sót lại sau khi jailbreak.
Ở góc độ quản lý thiết bị doanh nghiệp, trang chuyên ngành công nghệ TechTarget cho biết các hệ thống quản trị di động (MDM) có thể sử dụng cơ chế xác thực tính toàn vẹn của thiết bị để phát hiện jailbreak hoặc root trước khi cho phép truy cập dữ liệu nội bộ. Nguyên tắc này tương tự cách nhiều ứng dụng ngân hàng hoạt động là chỉ khi thiết bị đáp ứng đầy đủ tiêu chuẩn bảo mật, người dùng mới được đăng nhập và thực hiện giao dịch.
Điều đáng lưu ý là không phải lúc nào việc khôi phục cài đặt gốc cũng đảm bảo loại bỏ hoàn toàn dấu vết root hoặc jailbreak, đặc biệt nếu bootloader đã bị mở khóa hoặc hệ thống từng bị cài firmware tùy chỉnh. Trong một số trường hợp, ứng dụng ngân hàng vẫn có thể phát hiện dấu hiệu can thiệp còn sót lại và từ chối truy cập.
Việc kiểm tra thiết bị có từng bị bẻ khóa hay chưa vì vậy không chỉ mang ý nghĩa kỹ thuật mà còn liên quan trực tiếp đến an toàn tài chính. Trong bối cảnh các tổ chức tài chính tăng cường tiêu chuẩn bảo mật, hiểu rõ tình trạng hệ thống của thiết bị cá nhân sẽ giúp hạn chế nguy cơ bị chặn dịch vụ và quan trọng hơn là giảm thiểu rủi ro mất an toàn thông tin.
