(DĐDN) - Những ngày gần đây, rất nhiều người dùng mạng tại Việt Nam đã hào hứng chia sẻ ảnh mình hóa thành nhân vật cổ trang Trung Quốc. Tuy nhiên, để “hóa thân” được thành các nhân vật nổi tiếng này, người dùng cung cấp khá nhiều thông tin cá nhân.

Nhiều bạn trẻ "hóa thân" thành nhân vật cổ trang thông qua ứng dụng Pitu.

Thông qua ảnh chụp selfie từ camera điện thoại hoặc ảnh có sẵn, người dùng có thể “hóa thân” thành những nhân vật nổi tiếng trong Tam Quốc như Tào Tháo, Lữ Bố, Tây Thi... Cùng với đó, ứng dụng còn cho phép người dùng chỉnh sáng, tối, màu da và những đường nét trên gương mặt sao cho phù hợp phong cách kiếm hiệp.

Ứng dụng chỉnh ảnh trên di động này có tên Pitu, được Công ty Tencent (Trung Quốc) phát hành phát hành từ trung tuần tháng 1/2017.

Ngay sau khi được phát hành, ứng dụng miễn phí này đã nhanh chóng thu hút người dùng với hơn 5 triệu lượt tải về trên trên cả iOs và Androi từ Google Play (tính tới thời điểm hiện tại), và hiện đây đang là một trong những ứng dụng “hot” nhất trên mạng xã hội.

Tuy nhiên, theo các chuyên gia an ninh mạng, người dùng cần cẩn trọng bởi khi cài đặt Pitu “đòi” một số quyền truy cập thông tin trên thiết bị di động vốn không cần thiết cho tính năng của ứng dụng như: Quyền mở một kết nối Bluetooth đến một thiết bị khác BLUETOOTH; Quyền tự động mở một kết nối Wifi change_Wifi_State; Quyền tạo và truy cập Internet; Quyền truy cập vào việc định vị vị trí của thiết bị (GPS) Access_Fine_Location, Access_Coarse_Location; Quyền đọc thông tin của thiết bị (ID, các ứng dụng, IMEI, số điện thoại, các cuộc gọi,…) Read_Phone_State; Quyền kiểm tra các ứng dụng, chương trình đang chạy trên thiết bị Get_Tasks; Quyền đọc và ghi vào bộ nhớ thiết bị, thay đổi cấu hình và dữ liệu của thiết bị Write_Settings, Read_Phone_State, Read_Logs…; Quyền ghi lại các cuộc hội thoại Record_Audio.

Các quyền ứng dụng được yêu cầu khi cài đặt Pitu trên thiết bị.

Ông Nguyễn Hồng Sơn - Chuyên gia phụ trách mảng An ninh hệ thống của Bkav cho biết: “Với ứng dụng chỉ gồm tính năng về chỉnh sửa ảnh như Pitu thì việc yêu cầu truy cập các thông tin nhạy cảm như trên là không cần thiết. Điều này có nguy cơ gây mất an ninh đối với dữ liệu người dùng, thậm chí chúng có thể theo dõi người dùng”.

Ông Sơn cũng cho biết, ứng dụng Pitu liên tục kết nối và gửi dữ liệu tới các địa chỉ IP của các server đặt tại Trung Quốc như : http://log.tbs.qq.com; https://qpiksvr.xiangji.qq.com. Tuy nhiên dữ liệu được mã hóa, hiện các chuyên gia Bkav đang tiến hành phân tích thêm.

Đặc biệt, ứng dụng Pitu tự động tải về file tbs_res_imtt_tbs_release_tbs_core_3.0.0.1049_04302 4_20170120_170945.tbs từ server http://103.7.29.178/soft.tbs.imtt.qq.com/ để tiến hành cài đặt.

“Tại thời điểm phân tích thì file trên là một ứng dụng để thực hiện việc “test”. Tuy nhiên, tính năng tự động tải file này nếu được sử dụng để tải và chạy các ứng dụng độc hại thì sẽ gây nguy hiểm cho người dùng", ông Nguyễn Hồng Sơn cho biết thêm.

Trước đó, một phần mềm chỉnh ảnh tên Meitu của Trung Quốc cũng bị cảnh báo vì đòi hỏi những thông tin tương tự.  Tuy nhiên, các chuyên gia pháp lý và bảo mật số đã phát hiện Meitu trên iOS chứa "những đoạn mã phức tạp và đáng ngờ", làm nhiệm vụ kiểm tra điện thoại một cách âm thầm, trong đó có nhận dạng thiết bị đã jailbreak hay chưa, số thuê bao di động, nhà mạng… Việc này có thể dẫn đến hậu quả xâm hại thông tin cá nhân hay mất quyền điều khiển điện thoại.

Chính vì vậy, để tránh các nguy cơ nói chung, chuyên gia của Bkav khuyến cáo, ngoài việc tải phần mềm từ các kho chính thống, người dùng cũng cần lưu ý thông tin về nhà sản xuất và các quyền mà ứng dụng đó đòi hỏi được phép truy cập.

Thụy Du