Cục An ninh Quốc gia Đài Loan (NSB) đã đưa ra cảnh báo nghiêm trọng về các rủi ro an ninh mạng liên quan đến một số ứng dụng di động phổ biến do Trung Quốc phát triển, bao gồm Rednote, Weibo, TikTok, WeChat và Baidu Cloud. Cảnh báo này dựa trên một cuộc điều tra chuyên sâu được thực hiện với sự hợp tác của Cục Điều tra Bộ Tư pháp (MJIB) và Cục Điều tra Hình sự (CIB) thuộc Cơ quan Cảnh sát Quốc gia. NSB đã xác định các lỗ hổng bảo mật lan rộng, gây ra mối đe dọa nghiêm trọng đến quyền riêng tư của công dân Đài Loan.
Phạm Vi và Phương Pháp Điều Tra
Các phát hiện của cuộc điều tra dựa trên quá trình kiểm tra nghiêm ngặt, tuân thủ chặt chẽ theo Tiêu chuẩn Kiểm tra An ninh Thông tin Cơ bản cho Ứng dụng Di động phiên bản 4.0 (Basic Information Security Testing Standard for Mobile Applications v4.0) do Bộ Kỹ thuật số Đài Loan ban hành. Tiêu chuẩn này cung cấp một khuôn khổ toàn diện để đánh giá khả năng bảo mật của các ứng dụng di động, đảm bảo chúng tuân thủ các quy định về bảo vệ dữ liệu và quyền riêng tư.
Quá trình đánh giá toàn diện đã tập trung vào năm loại vi phạm nghiêm trọng, được đánh giá dựa trên 15 chỉ số cụ thể. Năm loại vi phạm chính bao gồm:
- Thu thập dữ liệu cá nhân: Đánh giá xem ứng dụng có thu thập thông tin cá nhân của người dùng vượt quá mức cần thiết cho chức năng cốt lõi hay không.
- Sử dụng quyền truy cập quá mức: Kiểm tra xem ứng dụng có yêu cầu hoặc sử dụng các quyền truy cập trên thiết bị (ví dụ: máy ảnh, micro, vị trí) mà không có lý do chính đáng hoặc vượt quá phạm vi cần thiết hay không.
- Truyền và chia sẻ dữ liệu: Phân tích cách dữ liệu người dùng được truyền tải và chia sẻ, đặc biệt là việc truyền dữ liệu đến các máy chủ bên ngoài khu vực pháp lý hoặc không an toàn.
- Trích xuất thông tin hệ thống: Đánh giá việc ứng dụng thu thập thông tin về thiết bị, hệ điều hành hoặc các ứng dụng khác được cài đặt trên thiết bị.
- Truy cập dữ liệu sinh trắc học: Kiểm tra việc ứng dụng truy cập hoặc xử lý dữ liệu sinh trắc học như dấu vân tay hoặc nhận dạng khuôn mặt.
Kết Quả Đánh Giá Chi Tiết về Vi Phạm
Cuộc điều tra đã chỉ ra rằng tất cả năm ứng dụng được kiểm tra đều có mức độ không tuân thủ đáng kể đối với các tiêu chuẩn bảo mật. Đặc biệt, ứng dụng Rednote đã không đáp ứng bất kỳ tiêu chuẩn nào trong số 15 chỉ số được kiểm tra, cho thấy mức độ rủi ro cao nhất.
- Rednote: Vi phạm tất cả 15 tiêu chuẩn.
- Weibo: Vi phạm 13 chỉ số.
- TikTok: Vi phạm 13 chỉ số.
- WeChat: Vi phạm 10 tiêu chuẩn.
- Baidu Cloud: Vi phạm 9 tiêu chuẩn.
Thu Thập và Lạm Dụng Dữ Liệu Nhạy Cảm
Các phát hiện cho thấy các ứng dụng này tham gia vào việc thu thập dữ liệu quá mức, vượt xa các chuẩn mực chấp nhận được cho chức năng ứng dụng thông thường. Việc này bao gồm quyền truy cập trái phép vào các thông tin nhạy cảm của người dùng. Các loại dữ liệu bị thu thập bao gồm:
- Dữ liệu nhận dạng khuôn mặt: Thông tin hình ảnh khuôn mặt của người dùng, có thể được sử dụng cho mục đích định danh hoặc theo dõi mà không có sự đồng ý rõ ràng.
- Danh bạ liên lạc: Toàn bộ danh sách liên lạc trên thiết bị, có khả năng tiết lộ mạng lưới quan hệ cá nhân và chuyên nghiệp của người dùng.
- Chi tiết vị trí: Dữ liệu vị trí địa lý của thiết bị, cho phép theo dõi hoạt động di chuyển và sinh hoạt của người dùng.
- Nội dung clipboard: Dữ liệu được sao chép vào bộ nhớ đệm của thiết bị, có thể chứa thông tin nhạy cảm như mật khẩu tạm thời, số thẻ tín dụng hoặc các tài liệu cá nhân.
- Ảnh chụp màn hình: Khả năng truy cập và thu thập các ảnh chụp màn hình do người dùng thực hiện, có thể chứa thông tin riêng tư hoặc bí mật.
Ngoài ra, tất cả các ứng dụng đều được phát hiện đã trích xuất thông tin hệ thống như thông số thiết bị (phiên bản hệ điều hành, kiểu máy) và danh sách các ứng dụng đã cài đặt. Việc thu thập dữ liệu sinh trắc học cũng là một vấn đề đáng lo ngại, đặc biệt là việc lưu trữ và tiềm năng lạm dụng các đặc điểm khuôn mặt của người dùng.
Truyền Dữ Liệu đến Máy Chủ tại Trung Quốc và Mối Đe Dọa Pháp Lý
Vấn đề trở nên phức tạp hơn khi các ứng dụng này được phát hiện đã truyền các gói dữ liệu đến các máy chủ đặt tại Trung Quốc. Hoạt động này làm tăng đáng kể nguy cơ thông tin cá nhân bị truy cập bởi bên thứ ba hoặc các cơ quan nhà nước.
Theo Luật An ninh mạng Trung Quốc (China’s Cybersecurity Law) và Luật Tình báo Quốc gia (National Intelligence Law), các doanh nghiệp Trung Quốc có nghĩa vụ pháp lý phải chia sẻ dữ liệu người dùng với các cơ quan chính phủ cho các mục đích an ninh quốc gia, an ninh công cộng hoặc tình báo. Khuôn khổ pháp lý này làm tăng mối đe dọa đối với người dùng Đài Loan, vì dữ liệu của họ có thể bị chuyển đến các cơ quan Trung Quốc, cấu thành một sự vi phạm sâu sắc quyền riêng tư.
Phản Ứng Của Đài Loan và Bối Cảnh Toàn Cầu
Những phát hiện của NSB phù hợp với các mối lo ngại toàn cầu. Nhiều quốc gia và khu vực như Hoa Kỳ, Canada, Vương quốc Anh, Ấn Độ và Liên minh Châu Âu đã đưa ra cảnh báo, cấm hoặc khởi động các cuộc điều tra đối với các ứng dụng tương tự do Trung Quốc sản xuất do nghi ngờ đánh cắp dữ liệu. Trong nhiều trường hợp, các khung pháp lý như Quy định Bảo vệ Dữ liệu Chung (General Data Protection Regulation – GDPR) đã được áp dụng để áp đặt các khoản tiền phạt đáng kể.
Để đối phó với những tiết lộ đáng báo động này, chính phủ Đài Loan đã có hành động quyết đoán bằng cách cấm sử dụng phần mềm và phần cứng mang thương hiệu Trung Quốc trong các tổ chức chính phủ. Biện pháp này nhằm bảo vệ các công nghệ máy tính và truyền thông quan trọng khỏi khả năng bị khai thác hoặc lạm dụng, đảm bảo an ninh cho cơ sở hạ tầng thông tin của quốc gia.
Khuyến Nghị và Biện Pháp Phòng Ngừa
NSB, phối hợp với MJIB và CIB, đặc biệt khuyến nghị công chúng hết sức thận trọng khi lựa chọn ứng dụng di động. Các cơ quan này khuyên không nên tải xuống các ứng dụng do Trung Quốc phát triển mà thể hiện các lỗ hổng an ninh mạng đã được xác định. Lời khuyên này không chỉ nhằm mục đích bảo vệ quyền riêng tư dữ liệu cá nhân mà còn bảo vệ các bí mật kinh doanh của doanh nghiệp khỏi nguy cơ bị xâm phạm.
Khi các mối đe dọa mạng tiếp tục phát triển, NSB nhấn mạnh tầm quan trọng của sự cảnh giác trong bảo mật thiết bị di động để giảm thiểu rủi ro do các ứng dụng không tuân thủ các tiêu chuẩn bảo mật và quyền riêng tư nghiêm ngặt gây ra. Việc thường xuyên cập nhật phần mềm, sử dụng các giải pháp bảo mật đáng tin cậy và kiểm tra kỹ lưỡng các quyền mà ứng dụng yêu cầu trước khi cài đặt là những bước quan trọng để bảo vệ dữ liệu cá nhân và thông tin nhạy cảm.
