Cách các ứng dụng bàn phím bên thứ ba theo dõi bạn

Bàn phím bên thứ ba giống như một người thư ký tận tụy ngồi ngay giữa ngón tay và màn hình của bạn. Để đổi lấy những bộ sticker lung linh hay tính năng tiên đoán chữ, bạn thường phải cấp quyền "Truy cập đầy đủ" (Full Access) cho chúng.

Về bản chất, đây là một dạng keylogger hợp pháp. Mọi ký tự bạn gõ, từ mật khẩu ngân hàng đến những dòng tâm sự riêng tư, đều bị ghi lại và gửi về máy chủ của nhà phát triển dưới danh nghĩa phân tích hành vi để cải thiện trải nghiệm.

Ranh giới giữa sự tiện lợi và rủi ro bảo mật ở đây cực kỳ mong manh, vì bạn đang cho phép một bên lạ mặt đứng sau lưng và ghi chép lại mọi thứ bạn viết ra mỗi ngày.

Khoan, vậy nó có đọc được cả mật khẩu ngân hàng của mình không?

Về lý thuyết là có, nhưng thực tế các hệ điều hành như iOS hay Android luôn có một "chốt chặn" an toàn. Khi bạn chạm vào ô nhập mật khẩu được định dạng chuẩn, hệ thống sẽ tự động ngắt bàn phím bên thứ ba và hiện bàn phím mặc định của máy để bảo vệ bạn.

Tuy nhiên, rủi ro nằm ở những trang web hoặc ứng dụng thiết kế kém, nơi ô nhập liệu không được gắn nhãn "mật khẩu" đúng cách. Lúc đó, bàn phím bên thứ ba sẽ ghi lại từng ký tự bạn gõ mà không gặp bất kỳ sự ngăn cản nào.

Đây chính là kẽ hở mà các nhà phát triển thiếu đạo đức khai thác. Trong thế giới an ninh mạng, chúng tôi gọi đó là sự đánh đổi nguy hiểm giữa tính tiện dụng và sự phơi nhiễm thông tin cá nhân.

Vậy mấy cái mã OTP gửi qua tin nhắn cũng bị tụi nó hốt sạch luôn hả?

Chính xác, và đó mới là "mỏ vàng" thực sự. Khi bạn nhận mã OTP và tự tay gõ vào ô xác thực, bàn phím sẽ ghi lại chuỗi số đó ngay lập tức. Nó không cần bẻ khóa hệ thống, vì chính bạn đã "dâng" chìa khóa cho nó rồi.

Thậm chí, một số bàn phím yêu cầu quyền đọc tin nhắn để "tự động điền" mã cho nhanh. Nghe thì có vẻ tâm lý, nhưng thực chất là bạn đang mời một người lạ vào đọc trộm thư riêng của mình để họ thu thập dữ liệu.

Trong an ninh mạng, đây gọi là lỗ hổng từ phía con người. Khi đó, mọi lớp bảo mật hai lớp (2FA) đắt tiền đều trở nên vô nghĩa trước một cái bàn phím "lắm lời" mà bạn cài vào máy.

Chẳng lẽ 2FA vô dụng thật sao, còn cách nào cứu vãn không?

Không hẳn, nhưng SMS OTP là mắt xích yếu nhất. Nó giống như bức thư tay bị người đưa thư liếc trộm. Bạn nên dùng ứng dụng Authenticator để tạo mã trực tiếp.

Các app này cho phép sao chép mã thay vì gõ tay. Càng ít gõ phím, kẻ gian càng ít cơ hội ghi lại dữ liệu. Đây là cách "cắt đuôi" hiệu quả nhất.

An toàn nhất là khóa bảo mật vật lý. Chỉ cần chạm thiết bị để xác thực, không cần gõ ký tự nào. Lúc đó, bàn phím dù "lắm lời" cũng bất lực.

Nếu chỉ copy-paste mã từ Authenticator, bàn phím có còn 'đọc trộm' được không?

Về mặt kỹ thuật, việc dán mã giúp bạn tránh được lỗi 'ghi lại phím gõ'. Bàn phím lúc này đóng vai trò thực thi lệnh dán thay vì thu thập từng ký tự. Điều này vô hiệu hóa các loại keylogger cơ bản nhất.

Nhưng rủi ro vẫn tồn tại ở bộ nhớ tạm (clipboard). Một số bàn phím yêu cầu quyền truy cập clipboard để 'quản lý lịch sử sao chép'. Nếu bạn đồng ý, mọi dữ liệu nhạy cảm bạn vừa copy đều nằm trong tầm kiểm soát của chúng.

Vì vậy, giải pháp tối ưu là sử dụng tính năng tự động điền của hệ thống. Dữ liệu sẽ đi thẳng từ ứng dụng bảo mật vào ô nhập liệu, hoàn toàn bypass qua bàn phím và bộ nhớ tạm.