Cập nhật về Bluezone
Bằng cách phân tích phiên bản Android mới nhất (2.0.3, phát hành ngày 3/8/2020), tôi thấy app Bluezone đã sửa chữa những lỗ hổng quan trọng nhất mà tôi đã loan báo hồi tháng 4. Cụ thể, Bluezone đã không còn sử dụng một ID duy nhất, mà đã tự động thay đổi ID mỗi vài phút. Ngoài ra, Bluezone cũng đã không còn thu thập địa chỉ Bluetooth Classic nữa, nhờ nỗ lực thuyết phục của anh Phan Dương Hiệu.
Nếu như trước đây ai cũng có thể theo dõi hay thu thập thông tin của người sử dụng Bluezone, với cách làm hiện tại thì chỉ có đội phát triển Bluezone và Chính phủ Việt Nam mới có thể thu thập thông tin. Những F0 sẽ được cấp một mã OTP để tải lên máy chủ Bluezone toàn bộ lịch sử tiếp xúc. Từ F0, máy chủ sẽ thông báo đến các F1 và toàn bộ lịch sử tiếp xúc của F1 cũng sẽ được đưa lên máy chủ Bluezone.
Với cách làm này, máy chủ Bluezone sẽ có thông tin social graph (ai quen ai; ai gặp ai, vào lúc nào) của người dùng. Hiện tại Bluezone có hơn 2 triệu cài đặt và nhiều khả năng sẽ tăng cao trong thời gian sắp tới. Khi đó máy chủ Bluezone sẽ có social graph của một lượng lớn người ở Việt Nam. Bluezone có cam kết dữ liệu mà người dùng chia sẻ với máy chủ "sẽ được và chỉ được sử dụng để phục vụ quá trình truy vết tìm F1, F2 nhằm bảo vệ cộng đồng khỏi nguy cơ lây nhiễm COVID-19".
Lời khuyên của tôi:
1/ Đối với người dùng cuối: nếu anh chị tin tưởng đội phát triển Bluezone và Chính phủ Việt Nam, hãy cài đặt Bluezone. Số lượng người cài đặt sẽ ảnh hưởng trực tiếp đến hiệu quả của công nghệ này.
2/ Đội phát triển Bluezone và Chính phủ Việt Nam nên đưa ra cam kết xóa bỏ dữ liệu mà máy chủ Bluezone thu thập được ngay sau khi dịch bệnh không còn nữa.
3/ Đội phát triển Bluezone nên công bố phương án bảo vệ dữ liệu mà máy chủ thu thập được, đảm bảo chỉ người có thẩm quyền mới có thể đọc hoặc ghi dữ liệu. Đảm bảo an ninh cho máy chủ cũng là một vấn đề cần được quan tâm. Chính phủ Việt Nam nên thuê một bên thứ ba đánh giá độc lập cách làm của Bluezone.
4/ Đội phát triển Bluezone nên cập nhật mã nguồn và whitepaper đã công bố trên GitHub cho đúng với phiên bản mới nhất. Nếu được thì cũng nên công bố mã nguồn của máy chủ. Làm vậy sẽ giúp những ai quan tâm có thể đóng góp dễ dàng hơn.
Những đánh giá và kiến nghị ở đây dựa trên kết quả reverse engineering. Tôi đã làm tốt nhất trong khả năng của mình, nhưng vẫn có thể có sai sót. Tôi sẽ tiếp tục theo dõi Bluezone và sẽ thông báo trên blog này nếu có thông tin hay phát hiện mới.
Nho nhà trồng được. Không còn xanh như cách đây vài tháng, nhưng vẫn còn chua.