Mới đây, trang tin The Hacker News đưa tin về một vụ lộ thông tin khách hàng quy mô lớn của một công ty khởi nghiệp ở Tel Aviv (Israel) có tên là Ai.type. Công ty này đã để lộ thông tin của hơn 31 triệu khách hàng sử dụng phần mềm bàn phím ảo. Vụ việc được phát hiện bởi một nhóm các nhà nghiên cứu của Kromtech Security Center (NEW ORLEANS – Mỹ). Bất kỳ ai cũng có thể tải xuống dữ liệu mà không cần có mật khẩu.

Thành lập năm 2010, Ai.type cung cấp bàn phím ảo có thể tuỳ biến và cá nhân hoá cho điện thoại thông minh và máy tính bảng cho hơn 40 triệu khách hàng trên toàn cầu. Tuy nhiên, cơ sở dữ liệu MongoDB bị cấu hình sai đã để lộ toàn bộ 577 GB dữ liệu chi tiết, nhạy cảm của người dùng trên mạng. Dường như công ty đã thu thập tất cả các loại thông tin, từ danh bạ cho tới các phím mà người dùng từng bấm. Cơ sở dữ liệu bị lộ về hơn 31 triệu khách hàng bao gồm:

• Họ tên đầy đủ, số điện thoại và địa chỉ thư điện tử.
• Tên thiết bị, độ phân giải màn hình và thông tin chi tiết về dòng máy.
• Phiên bản Android, số IMSI và số IMEI.
• Tên mạng di động, tên nước sở tại và cả ngôn ngữ sử dụng.
• Địa chỉ IP (nếu có) cùng với vị trí GPS location (kinh độ/vĩ độ).
• Các liên kết và thông tin liên quan tới hồ sơ mạng xã hội, trong đó bao gồm ngày sinh, địa chỉ thư điện tử, ảnh.

Hơn thế nữa, cơ sở dữ liệu bị lộ cho thấy, ứng dụng bàn phím ảo còn đánh cắp danh bạ của người dùng với tổng số hơn 373 triệu bản ghi.

Nếu không tính những phần mềm cố tình đánh cắp thông tin của người dùng, những ứng dụng nghiêm túc cũng có thể bị lợi dụng mà nhà phát triển không biết. Từ sau hội thảo BlackHat 2015, mọi người được biết hầu hết các điện thoại thông minh của Samsung có thể bị tin tặc tấn công và do thám người dùng. Nguyên nhân là Samsung đã phạm sai lầm khi sử dụng SDK của Swiftkey, cấp quyền mức hệ thống cho ứng dụng bàn phím. Đến tháng 7/2016, một số người dùng Swiftkey lại báo rằng, bàn phím của họ gợi ý những cụm từ liên quan đến địa chỉ thư điện tử và các từ khóa tìm kiếm của những người khác. Trước đó, từng có người dùng phải lo lắng vì thấy mật khẩu truy cập ứng dụng ngân hàng của mình xuất hiện trong số các từ gợi ý khi chat với bạn bè.

Liệu người dùng có thể tin tưởng vào sự bảo vệ của Apple hay Google? Về lý thuyết, hệ điều hành của điện thoại thông minh có thể giúp người dùng ngăn chặn việc truy cập mạng của các phần mềm bàn phím, nhưng một khi dữ liệu đã rời khỏi thiết bị thì Apple, Google hay bất kỳ nhà cung cấp hệ điều hành nào, thì cũng không thể kiểm soát được.

Để đảm bảo an toàn, người dùng iOS có thể chặn phần mềm bàn phím truy cập Internet bằng cách chọn Settings, General, Keyboards, chọn bàn phím rồi bỏ tùy chọn “Allow Full Access”.

Ngoài ra, từ phiên bản iOS 8, Apple đã bổ sung tính năng tự động chuyển về sử dụng bàn phím gốc khi người dùng nhập thông tin vào các trường được đánh dấu là mật khẩu/số thẻ tín dụng. Điều này không chỉ đúng với những phần mềm cài sẵn của Apple như Calendar, Mail, App Store mà còn xảy ra với những phần mềm của bên thứ 3 như Dropbox/Twitter và cả khi người dùng nhập dữ liệu vào các web form trong trình duyệt (đã thử nghiệm với Safari, Chrome,…). Lúc đó, nếu người dùng chạm vào biểu tượng quả địa cầu để chọn bàn phím thì sẽ chỉ thấy lựa chọn bàn phím gốc.

Với Android, chỉ có người dùng phiên bản 6.0 trở lên mới thay đổi được quyền của các ứng dụng (để huỷ quyền kết nối internet của các bàn phím thứ ba). Tuy nhiên, người dùng các phiên bản thấp hơn vẫn có hai lựa chọn, hoặc là dùng các phần mềm firewall hay VPN để ngăn chặn ứng dụng truy cập Internet. Các phần mềm như Mobiwol, NoRoot Data Firewall hay LostNet NoRoot Firewall không đòi hỏi quyền root, nên rất thích hợp cho mục đích này. Hoặc là dùng các phần mềm như Llama hay Tasker để tự động thay đổi bàn phím mỗi khi sử dụng các ứng dụng quan trọng như giao dịch ngân hàng. Llama có lợi thế là giao diện đơn giản, dễ dùng và không đòi hỏi quyền root.