Ứng dụng Android Việt “móc túi” người dùng Việt

Posted: 13/12/2011 in Người Việt xấu xí

Thời gian gần đây trên các diễn đàn công nghệ trong nước xôn xao chuyện một vài ứng dụng “ác ý” do người Việt viết đưa lên chợ ứng dụng Android Market bí mật “bòn rút” tài khoản điện thoại của người sử dụng. Cộng đồng người sử dụng Android Việt phát hiện ra 1 số ứng dụng do người Việt viết ra như Đôrêmon, 7 viên ngọc rồng (ứng dụng đọc truyện tranh), Nhạc chờ… có hành vi móc túi khách hàng.
nguồn : vietnamnet

Cụ thể là các ứng dụng này đều được cho download miễn phí, tuy nhiên sau khi tải về máy và được khởi chạy, chúng sẽ âm thầm gửi tin nhắn về đầu số 8777 với cú pháp đã định sẵn, mỗi tin nhắn này “rút ruột” tài khoản điện thoại của người sử dụng 15000 vnđ. Quá trình gửi nhận tin nhắn đều diễn ra mà hoàn toàn không có bất kỳ cảnh báo hay lưu ý nào để người sử dụng biết được mình đang mất tiền khi sử dụng ứng dụng. Và đáng nói hơn nữa, các tin nhắn kích hoạt này được ứng dụng gửi đi mỗi lần người sử dụng bật ứng dụng lên vì vậy 1 người có thể bị mất tiền rất nhiều lần mà không hề hay biết.

Tất cả đều thuộc quyền sở hữu của tài khoản mang tên upro.vn trên Android Market và vào ngày 5/12, UPRO.VN đổi tên thành IPRO.VN rồi IPRO để tiếp tục thực hiện những hành vi không minh bạch của mình. Nắm được thông tin này, chúng tôi quyết định tìm hiểu cụ thể sự việc để giúp bạn đọc có thể tự bảo vệ được mình khi phải đối mặt với những nguy cơ rất sát sườn như thế này.

Ứng dụng gửi nhận tin nhắn có là bình thường?

Có 1 thực tế là trên Android Market khi tải bất kỳ ứng dụng nào về chúng ta đều thấy có 1 phần gọi là Permission, đây là nơi mà Android Market sẽ liệt kê những tác vụ mà ứng dụng có thể thực hiện được trên thiết bị của bạn. Nói 1 cách nôm na, những trình duyệt như Opera Mini, Dolphin sẽ cần quyền truy cập vào Internet để có thể hoạt động được, tương tự như vậy, những trình chơi nhạc, xem phim cũng sẽ cần quyền truy xuất dữ liệu trên thẻ nhớ để có thể phát được nhạc, xem được phim… Ý nghĩa chính của các Permission này là để cho người sử dụng có thể nhận diện được những nguy cơ tiềm ẩn từ các ứng dụng “đòi” phân quyền bất thường. Chẳng hạn sẽ rất đáng ngờ nếu 1 trình chơi nhạc lại muốn truy cập call history hoặc khởi động trình duyệt…

Các permission cho biết ứng dụng có quyền làm những gì trên điện thoại của bạn. Nguồn ảnh: tinhte.vn.

Tuy nhiên có lẽ hầu hết người sử dụng đều bỏ qua khâu kiểm tra phân quyền ứng dụng khi cài đặt mà chỉ “nhắm mắt nhắm mũi” bấm Install. Các ứng dụng nói trên của Upro đều có ghi rõ phân quyền của mình là được phép gửi nhận và truy cập nội dung tin nhắn của người sử dụng. Đó cũng chính là lý do vì sao các ứng dụng này có thể gửi tin nhắn mà người dùng hoàn toàn không hay biết.

Thực ra chuyện 1 ứng dụng đòi quyền gửi nhận tin nhắn cũng không phải là điều gì khó hiểu, đặc biệt là ở 1 thị trường như Việt Nam. Đối với các lập trình viên ở nước ngoài họ hoàn toàn có thể viết ra 1 ứng dụng rồi đưa ứng dụng đó lên Android Market và định giá cho nó. Từ đó mỗi lần có người mua ứng dụng, lập trình viên đó sẽ thu được tiền sau khi đã chia cho Google 1 khoản phí nhất định, đó cũng là cách kiếm tiền của các lập trình viên chuyên viết ứng dụng cho điện thoại. Tuy nhiên để người sử dụng có thể mua được ứng dụng từ Android Market cần 1 thứ: thẻ tín dụng có khả năng chi trả trực tuyến, và đây chính là chỗ vấn đề nảy sinh.

Ở Việt Nam tỉ lệ người sử dụng thẻ tín dụng để thanh toán trực tuyến rất thấp, điều này khiến cho các ứng dụng dành cho người Việt nếu bắt trả phí thì kể cả người dùng có muốn trả tiền cũng không thể mua được nó. Vì lý do này, hầu hết các ứng dụng mà người Việt đưa lên Android Market đều thuộc dạng miễn phí. Và để lấy được lợi nhuận từ ứng dụng mà mình đã bỏ công ra viết, các lập trình viên còn 1 cách nữa: Khiến ứng dụng có thể gửi, nhận tin nhắn tới các tổng đài do lập trình viên đó đăng ký, mỗi tin nhắn sẽ trừ vào tài khoản điện thoại của người sử dụng 1 khoản tiền nào đó và khoản tiền này sau đó lại về tay lập trình viên.

Ứng dụng Việt thường phải phân phát miễn phí nếu muốn có khách hàng. (Nguồn ảnh:tinhte.vn)

Từ mục đích này mà nói, việc 1 ứng dụng gửi nhận tin nhắn là hoàn toàn bình thường và 1 lập trình viên xứng đáng được hưởng quyền lợi vật chất trên những ứng dụng mà anh ta đã đổ mồ hôi công sức để viết nên.

Nguy cơ ở đâu?

Tuy việc 1 ứng dụng gửi nhận tin nhắn là bình thường nhưng vấn đề nằm ở cách thực hiện việc này của các ứng dụng mà tôi liệt kê ở trên: Tin nhắn được gửi đi mà người sử dụng hoàn toàn không hay biết, và như trường hợp của Upro.vn, ứng dụng gửi tin nhắn “kích hoạt” không chỉ 1 mà rất nhiều lần khiến người sử dụng bị trừ tiền nhiều lần. Cách làm này đã thể hiện ý đồ không trong sáng của upro.vn. Mặc dù trong phần mô tả ứng dụng trên Android Market có chú thích rằng chi phí kích hoạt chương trình là 15000vnđ tuy nhiên việc các ứng dụng gửi tin nhắn mà không thông báo cho người sử dụng cũng chẳng khác gì đang “móc túi” khách hàng một cách lén lút.

Những ứng dụng tự động gửi tin nhắn như của upro.vn không phải là mới vì từ đầu tháng 10-2010 đã xảy ra trường hợp một vài ứng dụng trên Android Market tự động gửi nhận tin nhắn đến các tổng đài tính phí SMS. Tuy nhiên mặc dù các ứng dụng lúc đó bị các chương trình quét virus trên Mobile như Lookout, Kaspersky nhận diện là trojan thì các ứng dụng của upro.vn lại “qua mặt” được các phần mềm diệt virus.

Lookout cũng bó tay trong việc nhận diện nguy cơ từ ứng dụng Doremon và sau đó ứng dụng này thực hiện việc gửi tin nhắn tới đầu số 8777 với cú pháp:  MB ACT DOREMON. (nguồn ảnh: tinhte.vn)

Bên cạnh các ứng dụng của upro.vn chúng tôi còn thực hiện việc kiểm tra đối với 1 số ứng dụng cũng có quyền gửi nhận tin nhắn sms do người Việt viết ra trên Android market như Ai là triệu phú, Heo con háu ăn nhưng đều thấy các ứng dụng này hỏi ý kiến người sử dụng và nêu rõ về số tiền sẽ bị trừ trước khi gửi tin nhắn.

Đề phòng như thế nào?

Trước hết bạn hãy kiểm tra để chắc chắn rằng trong máy mình không có những ứng dụng mà tôi nêu ở phần trên của bài viết. Nếu có hãy thực hiện việc gỡ bỏ chúng khỏi máy để tránh việc mất tiền “oan”. Các ứng dụng sau khi gửi tin nhắn, tổng đài sẽ thường gửi lại những tin nhắn xác nhận đăng ký/kích hoạt. Ví dụ như ứng dụng Đôrêmon của upro.vn (IPRO) sau mỗi tin nhắn gửi tới 8777 sẽ có hồi âm từ tổng đài xác nhận việc đăng ký. Nếu bạn tự nhiên thấy mình nhận được các tin nhắn cám ơn, xác nhận kích hoạt từ đầu số tổng đài thì hãy coi chừng, rất có thể bạn đã “dính” 1 ứng dụng nào đó đang âm thầm bòn rút tài khoản của bạn bằng tin nhắn.

Nếu bạn thấy những tin nhắn tương tự như thế này bỗng nhiên gửi về máy mình thì hãy đề cao cảnh giác và rà soát lại các ứng dụng đang có trên máy nếu không muốn cuối tháng phải “méo mặt” với cước điện thoại. Nguồn ảnh: tinhte

Tuy nhiên trên đây chỉ là những biện pháp tình thế, về lâu về dài bạn cần tập thói quen đọc trước các Permission của ứng dụng trước khi cài đặt, nếu thấy các ứng dụng khả nghi hãy thận trọng tìm hiểu kỹ càng trước khi cài đặt. Nếu thấy nghi ngờ có thể dùng 1 số phần mềm đọc file log của máy để tìm hiểu xem ứng dụng đó có bí mật gửi tin nhắn hay không.

Sự “thoáng” của Android Market đã tạo điều kiện cho các ứng dụng ác ý phát triển và phổ cập. Tuy nhiên cũng giống như các nguy cơ khác về an ninh, “quả đắng” luôn đến với những ai bất cẩn và ngây thơ. Những ứng dụng móc túi người sử dụng bằng SMS trên Android Market có lẽ còn rất nhiều, tuy nhiên do sự hạn chế của việc gửi nhận tin nhắn SMS đến tổng đài chỉ trong phạm vi các nhà mạng của cùng 1 quốc gia nên chúng ta không cần quá lo lắng về các ứng dụng của người nước ngoài mà chủ yếu cần phải để mắt tới những ứng dụng Việt.

SMS là 1 hình thức thanh toán tiện lợi, nhanh gọn và dễ sử dụng đối với thị trường Việt Nam. Tuy nhiên để cách thanh toán nào đảm bảo được quyền lợi của cả 2 bên thì giao dịch phải được thực hiện minh bạch và được thông tin đầy đủ cho người sử dụng. Để giữ gìn 1 cộng đồng những người phát triển và sử dụng ứng dụng Việt lành mạnh, những hiện tượng xấu như upro.vn cần được lên án và loại trừ.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s