Thông tư 77 của Ngân hàng Nhà nước có hiệu lực từ đầu tháng sau chỉ rõ những trường hợp không thể truy cập ứng dụng ngân hàng di động (mobile banking). Cụ thể, ứng dụng ngân hàng sẽ không thể hoạt động trên các thiết bị bẻ khóa, gồm root với Android và jailbreak với iOS. Các thiết bị mở khóa cơ chế bảo vệ (unlock bootloader) cũng vào diện không thể sử dụng mobile banking.
Root, jailbreak và unlock bootloader là các thuật ngữ chỉ việc người dùng cố tình phá vỡ các hàng rào bảo mật mà nhà sản xuất thiết lập sẵn. Trong đó, root (trên Android) là hành động chiếm quyền kiểm soát cao nhất để can thiệp vào mọi tập tin hệ thống, xóa ứng dụng mặc định hoặc thay đổi giao diện cốt lõi. Tương tự, jailbreak (trên iOS) là quá trình gỡ bỏ các hạn chế phần mềm của Apple để cài đặt những ứng dụng từ nguồn bên ngoài.
Còn unlock bootloader là bước "mở khóa" tầng sâu nhất của phần cứng, cho phép cài đặt những hệ điều hành tùy chỉnh (custom ROM). Một thiết bị đã mở khóa coi như đã tắt đi lớp bảo vệ đầu tiên ngay từ khi nhấn nút nguồn.
Việc bẻ khóa làm vô hiệu hóa lớp phòng vệ của thiết bị, cho phép mã độc dễ dàng xâm nhập vào ứng dụng ngân hàng để đánh cắp thông tin. Bên cạnh đó, kẻ gian cũng có thể ghi lại thao tác màn hình, chiếm quyền điều khiển camera, giả lập xác thực vân tay hoặc khuôn mặt mà người dùng không hề hay biết. Những thiết bị trên cũng thường không nhận được các bản cập nhật bảo mật chính thức, khiến chúng trở thành "mồi ngon" cho các loại virus và phần mềm gián điệp.
Trên thực tế, việc bẻ khóa điện thoại không hoàn toàn xuất phát từ nhu cầu của người dùng mà có thể do bên bán, nhất là các sản phẩm xách tay. Thông thường, các dòng máy Android nội địa sẽ không có tiếng Việt, không có chợ ứng dụng và bị chậm thông báo. Để khắc phục, các cửa hàng thường phải root để cài hệ điều hành quốc tế.
Với các máy iPhone lock (máy khóa mạng), các cửa hàng thường jailbreak để sửa lỗi danh bạ, tin nhắn hoặc dùng SIM ghép. Dù hiện nay nhiều phương pháp phổ biến hơn để không cần bẻ khóa, vẫn có một lượng lớn máy đời cũ bị can thiệp hệ thống. Thêm vào đó, những dạng máy này thường "ngại" cập nhật hệ điều hành mới, làm hạn chế khả năng bảo mật.
Bên cạnh đó, ứng dụng ngân hàng cũng sẽ tự động ngừng hoạt động nếu phát hiện thiết bị đang kết nối với các công cụ hỗ trợ kỹ thuật (như trình gỡ lỗi debugger hay cổng giao tiếp ADB với máy tính). Đây vốn là những "cửa sau" cho phép máy tính can thiệp sâu hoặc điều khiển điện thoại từ xa, từ đó tạo ra kẽ hở để bị kẻ gian lợi dụng chiếm quyền giao dịch.
Đồng thời, mobile banking cũng sẽ nói không với các môi trường "giả lập" hay máy ảo chạy trên máy tính. Đây là những thiết bị không có thật, vốn thiếu hụt các lớp bảo mật phần cứng nên rất dễ bị tin tặc dùng để tấn công tự động hàng loạt. Đặc biệt, quy định mới nhắm thẳng vào các ứng dụng đã bị "xào nấu" lại mã nguồn (repacking) hoặc bị chèn mã theo dõi (hook) nhằm mục đích lấy cắp dữ liệu.
Như vậy, để tránh bị gián đoạn giao dịch, khách hàng cần chủ động kiểm tra tình trạng thiết bị, xóa các chế độ root, jailbreak hay unlock bootloader. Ngoài ra, khách hàng cũng cần cập nhật ứng dụng lên phiên bản mới nhất khi kích hoạt trên điện thoại mới hoặc cài đặt lại dịch vụ, để đáp ứng các tiêu chuẩn an toàn.
Tất Đạt