Trong lúc người dùng iOS nói chung phụ thuộc gần như hoàn toàn vào phương pháp quản lý ứng dụng “khép kín” của Apple nhằm đảm bảo dữ liệu người dùng an toàn, thì người dùng Android thường phải tự bảo vệ, có thể dựa vào hệ thống mã hóa nhưng dường như nó không hoạt động.
Hệ thống cấp quyền của Google hoạt động thế nào?
Bất cứ khi nào tải một ứng dụng từ Google Play (trước đây là Android Market), bạn có thể thấy thông báo giải thích thông tin nào ứng dụng đó sẽ truy cập khi bạn cài nó vào điện thoại.
Ví dụ, bảng thông báo sẽ nêu rõ ứng dụng có hay không được phép truy cập vào danh bạ của bạn hay có được quyền kết nối Internet hay không. Một ứng dụng không thể sử dụng bất cứ chức năng nào trên điện thoại của bạn nếu nó không được sự chấp thuận và các nhà phát triển sẽ thiết lập những quyền này khi lần đầu tiên ứng dụng đó được đăng ký vào Play Store.
Những vấn đề về cấp quyền
Theo lý thuyết, việc đưa ra những cảnh báo như nêu trên là ý kiến hay, nhưng nó không có nhiều tác dụng trong thực tế. Theo một chuyên gia, rất ít người thực sự đọc kỹ những nội dung về cấp quyền của ứng dụng trước khi cài đặt.
Ngay cả khi có đọc cảnh báo, người dùng cũng không thể nắm được nhiều thông tin: danh sách cấp quyền không hề rõ ràng và cực kỳ mơ hồ. Một ứng dụng có thể yêu cầu được cấp quyền sử dụng kết nối Internet, nhưng chúng ta không thể biết nó dùng kết nối Internet cho việc gì. Một số ứng dụng bảo mật như Lookout Mobile Security với tính năng trợ giúp về quyền riêng tư, có thể giúp bạn nắm thêm một số chi tiết liên quan đến lý do tại sao một ứng dụng yêu cầu cấp quyền nào đó.
Nhưng ngay cả với thông tin được đưa thêm từ các ứng dụng bảo mật, bạn cũng không bao giờ hiểu rõ chi tiết tại sao ứng dụng trình duyệt lại muốn truy cập vào tính năng tin nhắn trên điện thoại của bạn chẳng hạn.
Vào cuối tháng 2/2012, tờ New York Times đã minh họa lỗ hổng trên hệ thống cấp quyền của Android bằng cách xây dựng một ứng dụng có thể truy cập vào những ảnh được lưu trên điện thoại Android và sao chép ảnh đó gửi đến máy chủ từ xa. Để thực hiện điều này, ứng dụng chỉ cần sử dụng quyền truy cập vào Internet.
Theo Google, vấn đề này bắt nguồn từ thực tế là ban đầu hệ thống cấp quyền sẽ hỗ trợ các thiết bị lưu ảnh trên thẻ nhớ di động. Nhưng hiện nay, điện thoại lưu trữ ảnh trên bộ nhớ được tích hợp sẵn, do vậy hệ thống cấp quyền của Google không còn hoạt động như dự định ban đầu.
Người dùng cần biết gì?
Mặc dù thông báo cấp quyền ứng dụng không có gì rõ ràng, nhưng bạn có thể tìm thấy một số báo hiệu cảnh báo. Hầu như mỗi ứng dụng đều hỏi về quyền cho phép truy cập Internet (thường dành cho quảng cáo), nhưng chỉ một số ít yêu cầu cho phép truy cập vào các cuộc gọi hay tin nhắn của bạn.
Một ứng dụng có chứa mã độc sẽ thực hiện cuộc gọi hay gửi tin nhắn bằng cách quay số điện thoại cố định hay gửi tin nhắn, khiến chi phí trả cước của bạn đội lên cao mà bạn không hề hay biết. Chỉ có những ứng dụng bảo mật và ứng dụng liên lạc mới có quyền truy cập vào các cuộc gọi hay gửi tin nhắn đến bạn, chẳng hạn như Google Voice.
Nếu một trò chơi (game) hỏi bạn cho phép truy cập vào tin nhắn thì đừng nên tải ứng dụng đó về. Một số nhà phát triển ứng dụng sẽ liệt kê danh sách những chương trình nào yêu cầu cấp quyền gì. Cụ thể, nhà phát triển ứng dụng trình quản lý tác vụ như Any.Do, đã xây dựng trang Hỏi & Đáp để giải thích các điều khoản cấp quyền. Điều này thực sự hữu ích để biết lý do tại sao một ứng dụng cần truy cập đến các danh bạ của bạn và trình kiểm soát phần cứng.
Nếu nhà phát triển không giải thích tại sao phải yêu cầu cấp quyền, bạn nên gửi email đến nhà phát triển. Ứng dụng Google Play sẽ cung cấp cho bạn những thông tin liên lạc cơ bản của từng nhà phát triển, do đó bạn có thể gửi bất cứ thắc mắc nào đến họ. Nếu nhà phát triển đó không hồi âm và bạn không tìm thấy bất cứ thông tin nào về nhà phát triển này thì cách tốt hơn là từ bỏ ứng dụng đó hơn là cài đặt để nó chiếm quyền kiểm soát điện thoại của bạn.
Dù sao chăng nữa, những tình huống về cấp quyền nói trên cần có sự thay đổi. Theo các chuyên gia, Google phải có những cải tiến về hệ thống cấp quyền để người dùng có thể dễ hiểu hơn, đồng thời các nhà phát triển ứng dụng cần phải giải thích rõ ràng ứng dụng nào của họ có thể truy cập vào phần chức năng nào trên điện thoại của người dùng và tại sao họ muốn truy cập vào đó. Để chờ đến lúc Google có những cải tiến đáng kể trên hệ thống cấp quyền, quan trọng là người dùng phải luôn đặt ra câu hỏi “nghi vấn” liệu mỗi ứng dụng có thực sự cần hay không truy cập đến tất cả các chức năng trên điện thoại của mình.
Ý kiến bạn đọc