Ông Jonathan Scott, kỹ sư bảo mật di động hàng đầu tại công ty công nghệ tài chính cLabs, mới đây đã phát hiện ra lỗ hổng này sau khi thiết kế công nghệ đảo ngược cho cả phiên bản iOS và Android của ứng dụng MY2022 — một công cụ được Bắc Kinh phát triển để theo dõi tình trạng sức khỏe COVID-19 của người dùng đồng thời cung cấp thông tin về Thế vận hội.
Ông Scott cũng phát hiện ra một điều là thuật toán AI đằng sau ứng dụng này được Công ty iFLYTEK phát triển, một công ty công nghệ Trung Quốc nằm trong danh sách đen, nổi tiếng vì sự liên hệ mật thiết của mình với các hoạt động vi phạm nhân quyền của Bắc Kinh ở vùng viễn tây Tân Cương của nước này.
Trong một cuộc phỏng vấn với chương trình “China Insider” của EpochTV, ông Scott đã giải thích lỗ hổng này là gì — ứng dụng nghe lén mọi âm thanh tiếng động và khi ứng dụng này phát hiện người dùng nói những từ mà Bắc Kinh cho là nhạy cảm, nó sẽ thu thập đoạn âm thanh đó và gửi đến hệ thống máy chủ ở Trung Quốc để phân tích.
Theo ông Scott, ứng dụng này sẽ tự động di chuyển lên nền trước của điện thoại ngay khi các từ nhạy cảm xuất hiện, ngay cả khi người dùng điện thoại để ứng dụng ở chế độ nền.
“Đó là một ứng dụng xâm phạm … nếu quý vị đang tham gia Thế vận hội Mùa Đông 2022, thì quý vị không có lựa chọn nào khác ngoài việc cài đặt ứng dụng này,” ông nói.
Về những từ nhạy cảm này là gì, ông Scott cho biết chúng là những từ tạo nên một bản danh sách bàn phím kiểm duyệt được báo cáo trước đó bởi Citizen Lab. Danh sách này phục vụ cái mà ông ấy gọi là một “tính năng báo động” để kích hoạt chức năng ghi âm của ứng dụng.
Citizen Lab, một viện nghiên cứu tại Đại học Toronto, đã công bố bản phân tích pháp y kỹ thuật số của mình vào ngày 18/01/2022 và phát hiện ra rằng chức năng mã hóa của ứng dụng để bảo vệ tệp âm thanh cũng như các tờ khai y tế và hải quan của người dùng có thể dễ bị tin tặc tấn công.
Bản phân tích này cũng cho thấy rằng ứng dụng có khả năng kiểm duyệt 2,442 từ khóa, những từ nằm trong danh sách đen được coi là “nhạy cảm chính trị ở Trung Quốc”. Bản phân tích kết luận rằng danh sách này không hoạt động trên ứng dụng — trái ngược với những gì ông Scott đã phát hiện.
“Tôi khá tin tưởng rằng họ đã không giải mã ứng dụng này trên hệ điều hành iOS, vì vậy họ không thể thực sự thấy các chức năng này đang hoạt động. Bởi vì một khi quý vị giải mã được ứng dụng iOS, thì điều đó sẽ hiện rõ mồn một trước mắt,” ông nói về điều mà ông tin là các nhà nghiên cứu của Citizen Lab đã không làm.
Ông Scott cho biết mã code của nghiên cứu của ông có sẵn để mọi người xem tại kho lưu trữ GitHub của ông và ông sẽ công bố một bản báo cáo đầy đủ cho những phát hiện của mình.
Ông cũng nhận thấy một sự thay đổi đáng khả nghi của ứng dụng này trên trang tải xuống App Store của Apple. Chính sách bảo mật của ứng dụng đã thay đổi từ không thu thập dữ liệu vào ngày 22/01/2022 thành chỉ thu thập thông tin liên hệ từ người dùng.
Tháng 10/2019, chính phủ cựu Tổng thống Trump đã đưa iFLYTEK cùng 27 công ty và các cơ quan an ninh công cộng khác của Trung Quốc vào danh sách đen của Bộ Thương mại Hoa Kỳ.
Hồ sơ của bộ cho biết “các tổ chức này có dính líu tới các hoạt động vi phạm và lạm dụng nhân quyền trong việc thực hiện chiến dịch đàn áp, giam giữ tùy tiện hàng loạt, và giám sát công nghệ cao của Trung Quốc đối với người Duy Ngô Nhĩ, người Kazakhstan, và các thành viên khác của các nhóm thiểu số Hồi giáo.”
Một số chính phủ phương Tây, bao gồm Hoa Kỳ và Anh Quốc, đã xác định rằng các chính sách của chính quyền Trung Quốc ở Tân Cương đã tạo thành tội ác diệt chủng. Ước tính có khoảng 1 triệu người, hầu hết trong số họ là người Duy Ngô Nhĩ, hiện đang bị giam giữ trong các trại tập trung, nơi họ được biết đến là đối tượng bị lạm dụng, bao gồm cưỡng bức triệt sản, cưỡng bức phá thai, cưỡng hiếp, tra tấn, lao động cưỡng bức, và tách trẻ em ra khỏi gia đình.
“Chính kiểu hành vi này đã khiến họ bị đưa vào danh sách đen. Đó là việc giám sát người dân. … Đó là hành vi vi phạm nhân quyền vì nó liên quan đến quyền riêng tư dữ liệu, chung quy lại đó là bản chất của vấn đề này,” ông Scott khẳng định.
Hiện tại, câu hỏi đặt ra là liệu ứng dụng này có nên khả dụng trên các cửa hàng ứng dụng của Google và Apple hay không.
“Đối với việc Apple và Google cho phép một công ty trong danh sách đen thực sự có mặt trên điện thoại của người Mỹ, ý tôi là, rõ ràng có vấn đề ở đó, phải vậy không?” ông Scott nói. “Chúng ta hoàn toàn không thể bắt tay với họ được, nhưng chúng ta buộc phải có ứng dụng này trên thiết bị của mình.”
Một số quốc gia — bao gồm Úc, Canada, Hoa Kỳ, và Anh Quốc — đã tuyên bố tẩy chay ngoại giao Thế vận hội Mùa Đông 2022, sẽ được đăng cai tại thủ đô Bắc Kinh của Trung Quốc từ ngày 04/02 đến ngày 20/02.
Apple và Google đã không phúc đáp yêu cầu bình luận vào thời điểm phát hành bài báo này.
Theo Epoch Times
