Giải pháp truy vết tiếp xúc của BKAV
Cập nhật 24/4/2020: cảnh báo lỗ hổng nghiêm trọng trong ứng dụng Bluezone.
Cập nhật 19/4/2020: thông qua bạn bè, BKAV nói rằng giải pháp của họ "độc lập với nhóm Châu Âu và Singapore" (nguyên văn). Tôi đã ngỏ lời sẽ giúp đánh giá an ninh, nếu BKAV cung cấp mô tả kỹ thuật, nhưng chưa nhận được phản hồi. Một bạn nói từ BKAV có liên lạc với bạn tôi, bảo là có nghe buổi hội thảo hôm qua và sẽ gửi app và thông tin để nhờ mọi người xem giúp.
Hôm nay BKAV công bố giải pháp truy vết tiếp xúc Bluezone. VnExpress dẫn lời Bộ trưởng Nguyễn Mạnh Hùng:
Bluezone là bước tiến mới, có tính đột phá trong việc sử dụng công nghệ để phòng chống dịch bệnh. Đột phá ở chỗ, chính quyền không thu thập thông tin người dân, thông tin chỉ lưu trên điện thoại cá nhân. Đột phá ở chỗ, ứng dụng chỉ đúng những người tiếp xúc gần và đủ lâu để có thể lây nhiễm, tránh việc một người bị nhiễm thì cả làng, cả khu bị cách ly. Đột phá ở chỗ, phần mềm mang tính toàn cầu khi sẽ để ở dạng nguồn mở để các quốc gia được chia sẻ và người dân có thể giám sát phần mềm mình đang dùng có an toàn không. Chúng ta không phải quốc gia đầu tiên dùng giải pháp này, nhưng phần mềm Việt Nam giải quyết được cơ bản các lỗi của các phần mềm trước đó.
Tôi thấy đây là một hướng đi đúng đắn. Để tiết kiệm thời gian, tôi nghĩ Việt Nam không nên tự làm từ đầu mà nên xây dựng dựa trên các giải pháp có sẵn. Hiện tại DP3T là một giải pháp mở khá tốt (nhưng vẫn còn vấn đề). Họ cung cấp đầy đủ thiết kế kỹ thuật, mã nguồn và SDK để phát triển ứng dụng. Đây là giải pháp của các chuyên gia ở Thụy Sĩ.
Tôi vào trang https://bluezone.vn thì chưa thấy công bố tài liệu kỹ thuật và mã nguồn. Chương trình mời dùng thử như VnExpress đưa tin cũng không thấy. Tôi nghĩ đối với một ứng dụng quan trọng như vầy thì BKAV nên nhanh chóng cung cấp tài liệu kỹ thuật mô tả cách thức hoạt động. Thường khi ra thông cáo báo chí thì nên đính kèm tài liệu kỹ thuật, để người ngoài có thể giúp đánh giá giải pháp. Không có tài liệu thì không thể đưa ra bất kỳ kết luận nào về giải pháp.
Ngoài ra nếu "Việt Nam giải quyết được cơ bản các lỗi của các phần mềm trước đó", nên công bố đó là lỗi gì và cách Việt Nam giải quyết các lỗi đó. Hiện giờ đang có rất nhiều nhóm nghiên cứu trên khắp thế giới đang ngày đêm tìm kiếm giải pháp truy vết tối ưu. Nếu BKAV tìm thấy lỗ hổng bảo mật hay riêng tư trong các giải pháp này thì nên nhanh chóng công bố. Đó là cách dễ nhất, nếu muốn cho thế giới biết Việt Nam làm tốt như thế nào.
Sáng chủ nhật giờ Việt Nam tôi tổ chức một hội thảo mini về đề tài này, nhân đây tôi muốn gửi lời mời đến BKAV. Hi vọng họ sẽ cử người tham dự và nếu hay hơn nữa là trình bày giải pháp của họ.