Scandal lộ dữ liệu cá nhân của Facebook ngày càng lan rộng và nghiêm trọng khi mới đây có thông tin ảnh hưởng tới 1 triệu người dùng tại Việt Nam. Tuy nhiên, điều đáng lo ngại nằm ở chỗ Facebook không phải là công ty duy nhất đang nắm giữ nhiều thông tin nhạy cảm của chúng ta…
Việc cấp quyền (permission) cho các ứng dụng để thực hiện các chức năng tương ứng của ứng dụng đó là điều cần thiết. Điều đáng nói là các quyền thực thi này hiện đang được lạm dụng và “cấp quyền” tràn lan, các ứng dụng ngày càng “khát” permission và đòi hỏi người dùng cho phép nhiều quyền thực thi “nhạy cảm, trong khi bản thân người dùng ngày càng có xu hướng bỏ qua việc đọc kỹ các quyền truy cập của ứng dụng trước khi cài đặt.
Ví dụ, các ứng dụng OTT phổ biến như Zalo, Viber hay WhatsApp… đều đòi hỏi rất nhiều quyền nhạy cảm, trong đó có các quyền ẩn dưới mục đích phục vụ cho việc đồng bộ như đọc/nhận/gửi tin nhắn SMS, đọc/ghi thông tin cuộc gọi,… và không có gì đảm bảo rằng các quyền này chỉ được dùng cho mục đích đồng bộ chức năng của máy với các tính năng tương ứng của ứng dụng, nói cách khác các ứng dụng này cũng tiềm ẩn việc lộ thông tin người dùng như Facebook. Bên cạnh đó, không chỉ các ứng dụng OTT mà ngay cả các loại hình ứng dụng khác cũng ngày càng đòi truy cập nhiều quyền hơn… Ngoài ra, nhiều ứng dụng đòi được cấp những quyền mà chẳng liên quan gì đến khả năng thực thi chức năng của ứng dụng.
Các ứng dụng phổ biến hiện nay như Viber, Zalo, Grab đều đòi hỏi rất nhiều quyền truy cập nhạy cảm (ảnh chụp màn hình)
Ma trận quyền thực thi của các ứng dụng
Bạn có thể xem các quyền thực thi của ứng dụng Android trên Google Play bằng cách nhấp vào phần “App permissions” hoặc “Permission details” ở dưới phần mô tả của ứng dụng, hoặc với các ứng dụng Android đã cài đặt thì vào phần Settings > Apps và nhấp vào ứng dụng tương ứng rồi vào phần Permissions, trên iOS thì vào phần Settings > Privacy và chọn ứng dụng tương ứng để xem quyền truy cập. Lúc này, các quyền truy cập của ứng dụng sẽ được Google liệt kê ra, như đọc SMS, đọc log call, đọc/xóa thẻ nhớ, truy cập Internet, tiếp tục chạy khi điện thoại ở chế độ sleep,… Tuy nhiên, ngay cả bản thân người dùng có đọc về các quyền mà ứng dụng đòi hỏi thì cũng rất lúng túng và khó xử.
Ngoài các quyền truy cập chính, Zalo còn đòi hỏi rất nhiều quyền truy cập khác ở phần Other (ảnh chụp màn hình)
Chúng ta cần hiểu rằng, một ứng dụng nghe nhạc thường đòi cấp quyền “ngăn điện thoại chuyển vào chế độ sleep” là để việc nghe nhạc không bị ngắt khi máy chuyển về chế độ standby, hay một ứng dụng trả phí sẽ thường đòi hỏi quyền gửi SMS hay quyền thanh toán vì việc thanh toán đòi hỏi phải gửi thông tin xác nhận/thông tin thanh toán, một ứng dụng xem video thường đòi cấp quyền đọc thông tin cuộc gọi nhằm tự động dừng phát/tắt âm lượng khi có cuộc gọi đến. Tuy nhiên, việc cấp quyền này đôi khi mang tính đánh đố người dùng và lạm quyền vô tội vạ, chẳng hạn như một ứng dụng nghe nhạc miễn phí thì cần gì phải có quyền “đọc SMS”?
Bên cạnh phần lớn các ứng dụng “mặc định” không mô tả chi tiết về mục đích của các quyền mà nó sử dụng, cũng có một số ít ứng dụng “tận tâm” mô tả nó, ví dụ như ứng dụng Send Anywwhere (File Transfer) trên Android ở ảnh minh họa dưới đây, “Đọc danh bạ: Để gửi tệp tin tới các liên hệ có trong danh bạ trên điện thoại của bạn“. Việc diễn giải này chưa hẳn đã chính xác những gì ứng dụng sẽ thực thi nhưng sự minh bạch này ít nhiều sẽ giúp người dùng dễ hiểu và có thể dễ dàng đưa ra quyết định cài đặt/cấp quyền cho ứng dụng đó hay không.
Rất ít ứng dụng chú thích rõ các quyền trong phần mô tả ứng dụng như ứng dụng Send Anywhere này (ảnh chụp màn hình)
Phân biệt các quyền nhạy cảm và cách quản lý quyền truy cập
Thông thường, người dùng khó tránh khỏi sự cám dỗ của việc “cấp phép” cho ứng dụng đó để nhanh chóng cài đặt và sử dụng nó, thay vì đọc kỹ và quyết định nên cài hay không. Nhưng nếu bạn đã ý thức được về nguy cơ lộ thông tin nhạy cảm như các tin nhắn hay thông tin cuộc gọi thì cần phải phân biệt được các quyền truy xuất nhạy cảm và cách quản lý chúng.
Các quyền nhạy cảm bao gồm các quyền liên quan tới phần tin nhắn SMS, cuộc gọi, lịch sử thiết bị và các quyền liên quan tới truy xuất dữ liệu trên thiết bị. Nếu bạn thấy không cần thiết hoặc các quyền đó không liên quan tới ứng dụng mà bạn đang cài đặt thì có thể tắt quyền truy cập (sau khi đã cài) hoặc chặn quyền truy cập (deny) khi đang cài hay có thể bỏ qua ứng dụng đó.
Cụ thể, để chặn quyền truy cập ứng dụng, bạn có thể làm theo cách sau tương ứng với các hệ điều hành iOS và Android:
– Với iOS, để kiểm tra các ứng dụng mặc định của Apple cài sẵn, bạn có thể vào Settings (Cài đặt) > Privacy (Quyền riêng tư) và lúc này sẽ hiện lên một loạt danh sách các ứng dụng đã được cấp quyền để bạn kiểm tra. Còn để kiểm tra các ứng dụng cài thêm, bạn vào Settings (Cài đặt) và kéo xuống xem danh sách các ứng dụng mà bạn tự cài thêm.
Lúc này, bạn sẽ thấy các quyền được phân bổ cho ứng dụng đó tương ứng với các công tắc bật/tắt. Bạn chỉ việc đơn giản là chạm vào công tắc On/Off tương ứng để bật tắt quyền truy xuất các tính năng mà bạn muốn của ứng dụng đó là xong, chẳng hạn ở ví dụ dưới đây chúng ta đang hạn chế quyền truy cập vào danh bạ (Contacts) và thư viện ảnh (Photos) của ứng dụng Messenger.
Bật/tắt quyền truy cập của ứng dụng trên iOS
– Với Android, bạn có thể xem các quyền truy cập ngay trên Google Play trước khi cài như đã đề cập ở phần đầu bài để quyết định xem có cài hay không. Ngay trong lúc cài và lần đầu mở và sử dụng ứng dụng, có thể ứng dụng sẽ đưa ra các đề xuất cấp quyền và lúc này bạn có thể quyết định cho phép (allow) hoặc tắt (deny) quyền truy cập.
Còn nếu đã cài ứng dụng, bạn có thể vào phần Settings > Apps & Notifications (hoặc Apps) và chọn ứng dụng muốn xem quyền truy cập, sau đó vào phần Permissions như ảnh minh họa ở dưới. Bên cạnh đó, có một số hãng cũng tùy biến Android theo hướng liệt kê quyền truy cập riêng ở phần Settings > App & Notifications > Permissions như hình bên phải ở minh họa dưới đây. Lúc này, bạn có thể bật/tắt quyền truy cập tương ứng với các tính năng của máy.
Bật/tắt quyền truy cập của ứng dụng (hai ảnh bên trái) và liệt kê quyền truy cập của các ứng dụng (bên phải) trên hệ điều hành Android.
Mẹo nhỏ: Bạn có thể tắt các quyền truy cập nhạy cảm của ứng dụng, khi cần sử dụng chúng hãy bật trở lại.
Tuy các biện pháp trên đây không thể chặn hoàn toàn việc thu thập dữ liệu của các ứng dụng, nhưng ít nhiều giúp bạn quản lý quyền truy cập vào các hạng mục nhạy cảm của thiết bị như SMS, cuộc gọi hoặc dữ liệu trên thẻ nhớ. Sau cùng, hãy nhớ rằng, một khi đã kết nối Internet, nghĩa là dữ liệu của bạn đã bị thu thập (và phát tán).
TM