PC-COVID không tự ý thu thập trái phép thông tin cá nhân người dùng

Chỉ thu thập thông tin để phục vụ phòng chống dịch

Theo đại diện Trung tâm công nghệ phòng chống dịch COVID-19 quốc gia, quá trình phát triển ứng dụng PC-COVID luôn có sự tham gia kiểm soát về an toàn, bảo mật thông tin nói chung, kiểm soát về quyền và việc sử dụng quyền nói riêng của các cơ quan chức năng. Các cơ quan tham gia kiểm soát về an toàn, bảo mật thông tin của PC-COVID gồm: Cục An toàn thông tin (Bộ TT&TT), Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05, Bộ Công an), Bộ tư lệnh Tác chiến không gian mạng (Bộ Tư lệnh 86, Bộ Quốc phòng), Hiệp hội An toàn thông tin Việt Nam (VNISA) cùng các chuyên gia an toàn, an ninh mạng Việt Nam.

Trước băn khoăn của nhiều người dùng về các quyền PC-COVID yêu cầu, ngày 6/10, Trung tâm công nghệ phòng chống dịch COVID-19 quốc gia đã phối hợp với Cục An toàn thông tin mời Cục A05, Bộ Tư lệnh 86 và VNISA tham gia kiểm tra, đánh giá độc lập về các quyền mã nguồn của ứng dụng PC-COVID.

Kết quả đánh giá độc lập cho thấy, chưa phát hiện ứng dụng PC-COVID thu thập thông tin người dùng ngoài phạm vi thực hiện các chức năng phục vụ phòng chống dịch bệnh.

Đại tá Nguyễn Trọng Thái, Trưởng phòng An toàn thông tin, Bộ Tư lệnh 86 cho biết, các đơn vị đã cử những cán bộ có chuyên môn cao, nhiều kinh nghiệm phối hợp với nhà phát triển kiểm tra chi tiết không chỉ phần mềm đóng gói cài đặt mà cả mã nguồn của ứng dụng PC-COVID.

“Qua đó, chúng tôi thấy rằng, những tính năng này phù hợp với yêu cầu phòng, chống dịch hiện nay, nếu bỏ đi tính năng nào thì bức tranh phòng chống dịch sẽ không toàn diện, không thể hiệu quả được. Những tính năng này đều có trong các ứng dụng khác như Zalo, Viber…”, ông Nguyễn Trọng Thái khẳng định.

Trong khi đó, đại diện Bộ TT&TT cho biết, trong cơ chế kiểm soát của hệ điều hành, các quyền thường được tổ chức và cấp thành các cụm quyền. Ví dụ với hệ điều hành Android, quyền sử dụng Bluetooth và quyền truy cập vị trí là 2 quyền thường gắn với nhau trong một cụm quyền. Khi PC-COVID hoặc bất kỳ một app nào khác có sử dụng đến một trong các quyền có liên quan thì hệ điều hành sẽ hỏi người dùng xem có đồng ý cấp cho cả cụm quyền hay không?

Ví dụ, PC-COVID chỉ cần quyền truy cập ảnh để lưu mã QR (một tiện ích cho người dân trong quá trình sử dụng), nhưng khi đó hệ điều hành sẽ có những cảnh báo đến người dùng về việc sử dụng cả cụm quyền liên quan đến “ảnh, âm thanh, video và tệp”.

Mỗi hệ điều hành sẽ có thông điệp cảnh báo khác nhau, có thể chỉ nêu ngắn gọn các quyền đang được xin hoặc có thể cảnh báo cụ thể kèm minh họa một số nguy cơ có thể xảy ra. "Tất cả các quyền mà mỗi app xin được cấp đều sẽ được hệ điều hành thông báo rõ trước khi người dùng xác nhận. Các quyền này đều được Google và Apple kiểm duyệt rất kỹ trước khi cho phát hành trên App Store và Google Play", đại diện Bộ TT&TT nhấn mạnh.

PC-COVID cần được cấp 4 quyền để hoạt động hiệu quả

Quyền sử dụng Bluetooth

PC-Covid ghi nhận tiếp xúc gần bằng công nghệ Bluetooth năng lượng thấp (BLE) và cần được cấp quyền này để thực hiện chức năng nói trên. Người dùng có thể lựa chọn có hoặc không sử dụng chức năng ghi nhận tiếp xúc gần. Nếu người dùng không sử dụng, PC-COVID sẽ không hỏi và không cần được cấp quyền này.

Trên hệ điều hành Android, quyền sử dụng Bluetooth gắn liền với quyền truy cập vị trí thành một cụm quyền. Cụ thể, theo chính sách của Google, để ghi nhận tiếp xúc gần bằng công nghệ BLE, ngoài việc bật Bluetooth cần quyền truy cập vị trí trên điện thoại.

Trên hệ điều hành iOS, quyền sử dụng Bluetooth không gắn liền với quyền truy cập vị trí. Nhưng để tối ưu chức năng ghi nhận tiếp xúc gần, PC-COVD vẫn cần được cấp quyền truy cập vị trí. Cụ thể, theo chính sách của Apple, để ứng dụng hoạt động liên tục và quét tiếp xúc gần hiệu quả bằng việc hỗ trợ iBeacon, ứng dụng cần được cấp quyền truy cập vị trí trên điện thoại.

Ngoài ra, ở phiên bản 4.0.3 trở về trước, PC-COVID đã cung cấp chức năng gửi các phản ánh. Tính năng này hỗ trợ người dùng lựa chọn vị trí hiện tại bằng cách khai thác quyền truy cập vị trí, mục đích là giúp ý kiến phản ánh đó được gửi đến đúng cơ quan chức năng theo địa bàn quản lý. Tuy nhiên, ở phiên bản 4.0.4, chức nay đã được loại bỏ.

Quyền truy cập thông báo trên điện thoại cài hệ điều hành Android

Trên các hệ điều hành có gốc là Andoid (có thể có ngoại lệ), các ứng dụng có thể bị dừng hoạt động vì nhiều lý do và PC-COVID cũng không ngoại lệ. Để khắc phục vấn đề này, trên phiên bản Android, PC-Covid cần được cấp quyền truy cập thông báo (android.permission.BIND_NOTIFICATION_LISTENER_SERVICE).

Nếu được người dùng chấp thuận, khi PC-COVID dừng hoạt động, hệ điều hành Android ngay lập tức gọi PC-COVID hoạt động trở lại và có thông báo về việc tái khởi động này. Người dùng có thể lựa chọn có hoặc không cấp quyền này song nếu không được cấp quyền truy cập thông báo, PC-COVID sẽ giảm tính ổn định.

"Trên hệ điều hành Android, quyền truy cập thông báo nếu được cấp, ứng dụng có thể truy cập nội dung của các thông báo trên điện thoại, bao gồm tin nhắn SMS, tin nhắn OTT. Trong cảnh báo mà một số phiên bản hệ điều hành gửi đến người dùng có thể kèm theo minh hoạ cụ thể về các nguy cơ khi cho ứng dụng khai thác quyền này", Bộ TT&TT giải thích thêm.

Việc truy cập nội dung tin nhắn SMS, tin nhắn OTT từ những ứng dụng xấu độc có thể khai thác ngầm các dữ liệu, thông tin nhạy cảm trong SMS, OTT của người dùng một cách phi pháp. Tuy nhiên, PC-COVID là ứng dụng của cơ quan nhà nước, tuân thủ pháp luật và tuyệt đối không khai thác thông tin SMS, OTT của người dùng.

Quyền sử dụng camera

PC-COVID cần được cấp quyền truy cập camera trên điện thoại để thực hiện chức năng quét mã QR và chức năng gửi phản ánh kèm theo video/hình ảnh.

Quyền truy cập ảnh, video, âm thanh và tệp, ứng dụng

PC-COVID sử dụng quyền này để cho phép lưu mã QR cá nhân trên PC-COVID về bộ nhớ điện thoại dưới dạng một tấm ảnh. Mục đích để người dùng có thể in ra giấy và mang theo cho bản thân hoặc người được khai hộ; có thể xuất trình ảnh ngay cả khi không sử dụng PC-COVID hoặc không có kết nối Internet. Ngoài ra, ở chức năng "Gửi phản ánh", PC-COVID hỗ trợ người dùng việc chụp ảnh, quay video và truy cập thư viện ảnh để gửi kèm nội dung phản ánh. Việc gửi kèm ảnh chụp/video sẽ hữu ích cho người tiếp nhận phản ánh xử lý thông tin, ví dụ như phản ánh có liên quan đến giấy chứng nhận tiêm chủng, giấy xét nghiệm,… Tuy nhiên, chức năng này chưa chính thức cung cấp trên PC-COVID.

Từ sáng 6/10, phiên bản cập nhật 4.0.4 của ứng dụng PC-COVID đã xuất hiện trên App Store để người dùng có thể nâng cấp.

Theo thông báo của nhà phát triển ứng dụng, phiên bản 4.0.4 sẽ cập nhật thêm phần chọn thẻ COVID theo tỉnh, sửa một số lỗi giao diện và tối ưu hóa hiệu năng. Người dùng các thiết bị trên hệ điều hành iOS có thể truy cập kho ứng dụng App Store để nâng cấp.

Tại phiên bản mới, nhà phát triển đã thay đổi màu sắc của thẻ COVID từ xanh đậm sang xanh nhạt hơn để dễ phân biệt. (Ảnh: Cục Tin học hóa - Bộ TT&TT)

Tại phiên bản mới, nhà phát triển đã thay đổi màu sắc của thẻ COVID từ xanh đậm sang xanh nhạt hơn. Ở thời điểm phát hành ứng dụng, màu mặc định trên thẻ COVID của người dân là màu xanh lá cây đậm đi cùng với mã QR màu đen. Với màu nền mặc định này, nhiều người nhầm lẫn đó chính là thẻ xanh COVID. Do đó, Bộ TT&TT đã chỉ đạo Trung tâm Công nghệ phòng chống dịch COVID-19 quốc gia thiết kế lại thẻ mặc định sang một màu xanh khác mờ hơn cho dễ phân biệt.

Với phiên bản nâng cấp 4.0.4, ở phần thẻ thông tin COVID, người dùng có thể lựa chọn địa phương áp dụng. Người dùng đang ở tỉnh thành nào, có thể tùy chọn trong danh sách tương ứng.

Ứng dụng bổ sung tính năng ẩn thông tin QR, giúp người dùng bảo vệ thông tin tốt hơn. Mã QR sau khi ẩn không hiển thị đủ thông tin cá nhân của người dùng mà thay thế bằng các ký tự *, người dùng vẫn có thể sử dụng để quét mã khi “checkin” ở các địa điểm; đồng thời mã QR sau khi ẩn cũng không có viền vàng như ở phiên bản cũ.

Tính năng "Khai báo y tế" cũng được tối ưu hoá nên người dùng có thể thao tác và gửi tờ khai y tế với tốc độ nhanh hơn trước.

Tính đến ngày 6/10, ứng dụng phòng chống dịch PC-COVID đã có gần 50,4 triệu lượt tải và hơn 25,4 triệu người dùng thường xuyên. 10 tỉnh, thành phố có tỷ lệ người dùng PC-COVID trên dân số cao hơn cả là Bình Dương, Bắc Ninh, TP.Hồ Chí Minh, Quảng Ninh, Hà Nội, Bà Rịa - Vũng Tàu, Đà Nẵng, Hải Dương, Bắc Giang và Bình Phước.