Bằng chứng máy chủ Bluezone có thể âm thầm lấy dữ liệu của người dùng
Tôi vừa đưa lên https://github.com/thaidn/bluezone hướng dẫn để những lập trình viên và những ai quan tâm có thể tận mắt chứng kiến cách máy chủ Bluezone có thể âm thầm lấy lịch sử tiếp xúc của tất cả người dùng Bluezone. Xin nhấn mạnh là tất cả, bất kể người đó có từng tiếp xúc với F nào hay không.
Tóm lại máy chủ có toàn quyền quyết định lấy dữ liệu bất kỳ lúc nào mà không cần có sự đồng ý của người dùng. Có thể máy chủ sẽ không bao giờ làm vậy, nhưng câu hỏi là làm sao chúng ta có thể kiểm tra được nếu họ không cam kết và không cung cấp thông tin cách họ làm trên máy chủ?
Xem thêm thảo luận ở đây.
Comments
Theo suy nghĩ của cá nhân mình những lỗi hiện tại là hoàn toàn năng lực yếu kém của công ty thiết kế phát triển sản phẩm và tư vấn.
Tất nhiên trách nhiệm là của bộ TT, nhưng chắc trong giai đoạn tập trung chống dịch này bộ cũng không có request gì thêm ngoài việc yêu cầu 1 hệ thống có thể truy vết và bảo mật. Có nghĩa là công ty đó có toàn quyền quyết định về họat động của hệ thống.
THeo mình biết ở VN có nhóm các công ty về nguồn mở, bạn có thể gửi những phản biện của mình về đó, hoặc kết hợp cùng nhiều người có uy tín nữa đưa vẫn đề này ra để nhiều người cùng biết tới.
Trường hợp F1 trở đi, flow đúng ra nên là Bộ Y Tế nhắn tin tới số người này, yêu cầu gửi contact lên server mới đúng phải không anh.
Cảm ơn về PoC của anh. Nhưng em đọc code ngoài gửi contact F1 F2 từ phía app không cần otp thì action gửi F0 bắt buộc có otp, nếu có bug ở đây thì bug đó phải là không kiểm tra otp lẫn số phone paired với otp đó, có thể dẫn tới server nhận sai thông tin F0 và history.
Nhưng nói chung nếu có lợi cho nước nhà thì cài thôi, dữ liệu của mình cũng ko có j quan trọng, đến FaceApp còn cài nữa là hehe
Tương tự như vậy muốn upload dữ liệu của F1 hoặc F2 thì phải có một parameter gọi là FindGUID. FindGUID cũng được gửi kèm trong cái lệnh KiemTraLichSuTiepXuc [2].
>Cảm ơn về PoC của anh. Nhưng em đọc code ngoài gửi contact F1 F2 từ phía app không cần otp thì action gửi F0 bắt buộc có otp, nếu có bug ở đây thì bug đó phải là không kiểm tra otp lẫn số phone paired với otp đó, có thể dẫn tới server nhận sai thông tin F0 và history.
Bug này, nếu có, không liên quan đến mục tiêu demo. Mục tiêu demo là để chứng minh máy chủ có thể kích hoạt client tự động gửi dữ liệu.
[1] https://github.com/thaidn/bluezone/blob/master/notify.py#L19
[2] https://github.com/thaidn/bluezone/blob/master/notify.py#L42
Nhờ Thái giải thích giùm có phải rằng:
- khi server Bluezone gửi YeuCauGuiLichSu kèm theo OTP đến phone thì đồng thời gửi OTP qua SMS đến phone, user sẽ nhận được đúng OTP đó qua SMS VÀ user phải bấm nút "Nhập mã xác thực" để gõ OTP mới nhận vào app, sau đó app sẽ gửi history đi.
Nếu như vậy thì không ÂM THẦM.
Ngược lại nếu ÂM THẦM thì nút "Nhập mã xác thực" dùng để làm gì?
Ứng dụng Bluezone hoạt động theo mô hình phân tán nên dữ liệu hoàn toàn do người dùng quản lý. Do vậy, giả sử khi hệ thống Bluezone bị tấn công, hacker không có được toàn bộ dữ liệu của người dân. Đơn giản là vì hệ thống không hề lưu trữ dữ liệu người dùng.
https://tuoitre.vn/co-che-van-hanh-thu-thap-thong-tin-cua-bluezone-nhu-the-nao-20200809091515527.htm
Tanu: đúng là không thể tin nổi.
Việc Facebook, Google lấy thông tin của các bạn là do các bạn chập nhận điều khoản để sử dụng dịch vụ của họ. Họ là công ty, không đại diện cho chúng ta (và họ đã bị chính chính quyền Mỹ đưa ra điều trần đó thôi).
Trường hợp Bluezone thì khác chúng ta cài đặt vì lợi ích của quốc gia nhưng kèm theo đó chúng ta có sự cam kết của chính phủ với các policy đi kèm. Tuy nhiên những policy đó hoàn toàn không đúng. Mà việc không tuân thủ policy đó không chỉ ảnh hưởng tới uy tín quốc gia mà thậm chí gây hại cho cả một chiến dịch đúng đắn và ảnh hưởng cá nhân.
Ví dụ: giả mạo F0, F1, theo dõi người dùng ảnh hưởng cá nhân từ app, thậm chí hệ thống server bị tấn công thay đổi kết quả, xóa đi kết quả ... và nhiều vấn đề khác.
Chúng ta hoàn toàn loại bỏ được điều đó, tại sao chúng ta không làm. Với năng lực của nhiều cá nhân và các tập thể tài năng khác hoàn toàn có thể làm tốt và cùng đóng góp. Tại sao việc này lại chỉ là 1 công ty (hình như là BK...) có quyền kiểm soát. Trong khi chúng ta kêu gọi toàn đất nước và toàn dân cùng tham gia.
Chúng ta không biết về bảo mật nhưng ít nhất nên hiểu về chính sách phía sau.
Những người phản biện bạn THái rất đang quý, đó mới là cách để đất nước tiến lên.
Nếu ở bước 2 và bước 3 có 1 thứ gọi là "mã khai báo" hay là OTP theo nội dung trao đổi trong post này
Thì tại bước 5 lại không hề đề cập gì tới việc nhập mã.
Đây có thể gọi là "âm thầm lấy dữ liệu của người dùng" được không?
Nếu việc đăng ký bluezone chỉ dùng số dtdd thì cơ quan chủ quản cần phải có thông tin người dùng đăng ký với nhà mạng để biết được vị trí nơi ở của họ hoặc là bluezone thu thập location trong điện thoại và gửi về cho máy chủ?
=))))))
Zic đâu về bảo chủ của mày xử lý đi kìa.
Quan điểm xây mới khó , phá thì dễ nha mấy con giời
Thằng nào cổ suý phá giơ tay tao xem nào?
Với trình độ bảo mật của cty B thì người ta nghi ngờ là chuyện bình thường.
Hôm nay chú m suýt làm team appsec ở cty tao cười vỡ bụng r đấy. thật là nguy hiểm :(
Hacker mà lấy được quyền root, chẳng khác nào ngân hàng mà bị chôm hết chìa khóa (bao gồm luôn cả chìa khóa két sắt) và bị cúp điện (bao gồm cả nguồn dự phòng). Đứa nào thử đưa tất cả chìa khóa của ngân hàng và tắt hết điện với camera xem thử tao có làm gỏi hết đống tiền trong đó không? Đan Mạch cái bọn óc thiểu năng...
btw, t éo liên quan gì tới cty A B C gì cả, nên đừng có nhạy cảm mà trích dẫn ý tao đăng lên twitter, hay NY nha
tình hình dịch đang cấp bách, bluezone không phát triển từ open source để đảm bảo chất lượng và thời gian mà cứ thích sáng tạo lại cái bánh xe. sáng tạo lại thì cũng tốt thôi, nhưng làm không bằng 1 góc của người ta. nhìn cái đống code trên github mà không ngửi nổi. lỗi thì tùm lum. không làm được thì để người khác làm. app để chống dịch chứ không phải để đánh bóng tên tuổi.
còn cái bug kia bên B đã fix rồi. ngồi đó mà honeypot.
Cục chính thức xác nhận rằng có những trường hợp hệ thống lấy dữ liệu từ máy người dùng mà không cần sự đồng ý: người dùng bị nghi là nhiễm virus.
> Hiện nay đã có quy chế quy định rõ về vấn đề này và các giải pháp kỹ thuật kèm theo trên cơ sở quy định của pháp luật hiện hành về an toàn thông tin và an ninh mạng.
Câu này có nghĩa là: Nếu Chính quyền VN làm đúng theo quy định, nếu team Bluezone làm đúng theo quy định, nếu hacker đã và sẽ hack vào server Bluezone cũng làm đúng theo quy định,... thì dữ liệu của người dùng sẽ không bị khai thác.
> Máy chủ không lưu trữ mọi dữ liệu lịch sử tiếp xúc cũng như ID của người dùng. Dữ liệu tiếp xúc sẽ chỉ được phục vụ cơ quan y tế khi có sự đồng ý của người dùng hoặc trong trường hợp người dùng là ca nghi nhiễm.
Câu này cũng có nghĩa là: Máy chủ không lưu trữ mọi dữ liệu, chỉ lưu trữ những dữ liệu mà server muốn lưu trữ thôi. Tập hợp "muốn" có thể bằng với tất cả dữ liệu của tất cả người dùng, cũng có thể chỉ là một phần nhỏ. Một khi server đã "muốn" thì máy của người dùng không có cách nào khác ngoài việc giao nộp toàn bộ dữ liệu.
Điểm mấu chốt của cuộc tranh luận này là ở chỗ:
- Một bên nói "cứ để cửa mở, tui không muốn bước vào nhà thì nhà sẽ không bị đột nhập đâu"
- Một bên lại nói "cần phải khóa chặt cửa, để không ai bước vào nhà bất kể họ có muốn hay không"
Anh Thái và "đồng bọn" tin vào cái số 2, trong khi Cục trả lời theo hướng số 1. Em nghĩ là Cục vẫn chưa giải thích thỏa đáng vấn đề.
Trong vụ này, phe nhà nước cần sự hợp tác của dân mà vẫn cư xử như cha thiên hạ, không minh bạch, tiết lộ nhỏ giọt.
Mặc dù Bluezone để một cửa để server âm thầm lấy dữ liệu từ client là cần thiết trong những trường hợp người cầm phone không hợp tác, nhưng việc không công khai từ đầu đã làm cho nhiều người nghi ngờ.
Dù sao thì cũng nên cài app này vì những thông tin mà app thu thập không có hại gì cho tui và đa số dân chúng.