Ứng dụng PC-Covid: Không thu thập trái phép thông tin người dùng
Đây là thông tin được đưa ra tại buổi Tọa đàm về các quyền ứng dụng PC-Covid yêu cầu người dùng cần cấp khi sử dụng được Bộ Thông tin và Truyền thông (TT&TT) tổ chức sáng 7/10.
Các quyền PC-Covid yêu cầu đều được kiểm soát chặt
Theo đại diện của Cục An toàn thông tin (Bộ TT&TT), chống dịch Covid-19 quốc gia, trong suốt giai đoạn ứng dụng PC-Covid được đưa tới tay người dùng, mọi ý kiến, phản ánh đúng đều được đội ngũ phát triển tiếp thu và sửa đổi. Tuy nhiên, trên thực tế vẫn có nhiều ý kiến không căn cứ cho rằng PC-Covid đang thu thập trái phép dữ liệu mà chưa được người dùng đồng ý.
Không chỉ PC-Covid mà mọi ứng dụng có chức năng thu thập thông tin ngườ dùng được đẩy lên các kho phần mềm như App Store và Google Play đều được Google và Apple kiểm soát rất chặt chẽ. Nếu chạy ngầm những chức năng trên mà không thông báo rõ tới người dùng thì sẽ ngay lập tức bị xóa hoặc thậm chí không xuất hiện nổi trên App Store và Google Play.
Về tổng thể, để PC-Covid có thể hoạt động trơn tru, ứng dụng sẽ yêu cầu tổng cộng 4 quyền truy cập trên điện thoại. Những quyền này đều được nêu rõ trong điều khoản sử dụng của ứng dụng cũng như các công bố về tính năng đã từng được Bộ TT&TT đưa ra.
Cụ thể, với quyền sử dụng Bluetooth, theo Cục An toàn thông tin, đây là quyền mà PC-Covid bắt buộc phải có để thực hiện tính năng ghi nhận tiếp xúc gần. Người dùng có thể lựa chọn có hoặc không sử dụng chức năng ghi nhận tiếp xúc gần. Trong trường hợp người dùng không sử dụng chức năng ghi nhận tiếp xúc gần, PC-Covid sẽ không hỏi và không cần được cấp quyền này.
Bên cạnh đó, ở phiên bản 4.0.3 trở về trước PC-Covid cung cấp chức năng để người dùng có thể gửi các phản ánh và hỗ trợ người dùng sử dụng lựa chọn vị trí hiện tại bằng cách khai thác quyền truy cập vị trí. Mục đích là để ý kiến phản ánh đó được gửi đến đúng cơ quan chức năng theo địa bàn quản lý (các xã, phường, thị trấn). Tuy nhiên, ở phiên bản 4.0.4, chức nay đã được loại ra khỏi PC-Covid để tránh những hiểu nhầm có thể xảy ra. Do đó có thể khẳng định, PC-Covid không khai thác vị trí của người dùng.
Đối với quyền truy cập thông báo trên điện thoại cài hệ điều hành Android, để đảm bảo các ứng dụng như PC-Covid thì cần phải được cấp quyền này. Nếu được người dùng chấp thuận, khi PC-Covid dừng hoạt động, hệ điều hành Android sẽ ngay lập tức lại gọi PC-Covid hoạt động trở lại và thông báo về việc tái khởi động này cho ứng dụng.
Người dùng có thể lựa chọn có hoặc không cấp quyền này. Tuy nhiên, nếu không được cấp quyền truy cập thông báo, PC-Covid sẽ giảm tính ổn định. Đồng thời, PC-Covid cũng không có tính năng thu thập nội dung tin nhắn SMS hay tin nhắn OTT của người dùng.
Với quyền sử dụng camera, đây là tính năng bắt buộc để thực hiện chức năng quét mã QR và chức năng gửi phản ánh kèm theo video/hình ảnh. Hoàn toàn không có trường hợp dữ liệu của người dùng bị thu thập trái phép qua tính năng này.
Ngoài ra, việc PC-Covid yêu cầu quyền truy cập ảnh, video, âm thanh, tệp là nhằm cho phép lưu mã QR cá nhân trên ứng dụng về điện thoại dưới dạng một tấm ảnh. Từ đó, người dùng có thể in mã QR cá nhân ra giấy và mang theo cho bản thân hoặc cho người được khai hộ nhằm khai báo cả khi không có kết nối mạng Internet.
Nhiều cơ quan độc lập giám sát PC-Covid
Phía Cục An toàn thông tin cho biết, để giám sát tính an toàn của PC-Covid, mới đây, cơ quan này đã kết hợp với Trung tâm Công nghệ phòng, chống dịch Covid-19 quốc gia từ đó yêu cầu sự tham gia của Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an), Bộ tư lệnh Tác chiến không gian mạng (BTL86, Bộ Quốc phòng), Hiệp hội An toàn thông tin Việt Nam VNISA nhằm kiểm tra, đánh giá về các quyền mã nguồn của ứng dụng PC-Covid.
Kết quả, các bên tham gia đánh giá đều thống nhất về việc không phát hiện ứng dụng PC-Covid thu thập thông tin ngoài phạm vi thực hiện của các chức năng đã được mô tả trong ứng dụng này.
Đại tá Nguyễn Trọng Thái, Trưởng phòng An toàn thông tin, BTL86 cho biết, quá trình kiểm tra không chỉ được thực hiện trên phiên bản PC-Covid đang hoạt động mà còn đi sâu vào trong mã nguồn của ứng dụng này. Các chuyên viên của BTL86 đã rà soát từng dòng lệnh và không phát hiện ra cơ sở gì để PC-Covid có thể thu thập trái phép thông tin người dùng.
Việc ứng dụng công nghệ vào phòng, chống Covid-19 là rất quan trọng, do đó các tính năng của PC-Covid sẽ đóng góp rất tích cực vào cuộc chiến này. Có thể khẳng định bản thân ứng dụng đã được xây dựng theo chuẩn, đảm bảo an toàn, phù hợp với đặc điểm phòng, chống dịch hiện nay.
Cũng theo đại diện của Cục An toàn thông tin, với các phiên bản mới của PC-Covid đều sẽ được các cơ quan độc lập nói trên kiểm tra trước nhằm ghi nhận, khắc phục các lỗi có thể có trước khi đến tay người dùng.
Được biết, vào ngày 6/10, PC-Covid đã được cập nhật phiên bản mới. Theo đó, màu của ứng dụng được chuyển đổi từ xanh sang xanh nhạt, nhằm tránh sự nhầm lẫn đây là thẻ xanh Covid-19. Tới thời điểm hiện tại, do chưa có quy định cụ thể về việc cấp thẻ xanh - vàng - đỏ nên tính năng này chưa được đưa vào ứng dụng.
Đáng chú ý, tính năng bảo mật mã QR trên PC-Covid cũng được nâng cấp. Khi kích hoạt tính năng ẩn mã QR, hình ảnh của mã này sẽ không hiển thị đầy đủ thông tin cá nhân của người dùng mà thay thế bằng các ký tự *. Tuy nhiên người dùng vẫn có thể sử dụng để quét khi ra vào các địa điểm.