Một báo cáo an ninh mạng gần đây cảnh báo hàng loạt ứng dụng Android phổ biến đang vô tình để lộ khóa truy cập Google Gemini, mở ra nguy cơ bị khai thác trái phép mà người dùng thông thường khó có thể nhận ra.
Theo báo cáo của Công ty an ninh mạng CloudSEK, vấn đề nằm ở các khóa API mà ứng dụng sử dụng để kết nối với dịch vụ của Google, vốn được ví như ‘chìa khóa’ cho phép ứng dụng giao tiếp với hệ thống AI của hãng.
Trước đây, các khóa này được xem là thành phần kỹ thuật bình thường và nhiều nhà phát triển vẫn tích hợp sẵn trong ứng dụng mà không gây lo ngại, do chúng không được thiết kế để mở rộng quyền truy cập theo cách nguy hiểm như hiện nay.
Tuy nhiên khi Google Gemini được tích hợp vào hệ sinh thái Google Cloud, các khóa truy cập cũ trở nên nhạy cảm hơn đáng kể, không chỉ còn là mã định danh kỹ thuật mà có thể trở thành cánh cửa truy cập vào các dịch vụ AI có tính phí.
Đáng chú ý, sự thay đổi này diễn ra âm thầm, khiến nhiều nhà phát triển không được cảnh báo đầy đủ rằng những khóa từng được xem là an toàn có thể bị khai thác theo cách hoàn toàn khác.
Theo cách ví von, một chiếc chìa khóa vốn chỉ mở cửa phụ nay có thể mở cả kho chứa tài sản giá trị, và nếu bị lộ, nó có thể bị sử dụng để truy cập trái phép vào các tài nguyên không thuộc quyền sở hữu.
Vấn đề nằm ở chỗ các doanh nghiệp hoặc nhà phát triển có thể chỉ phát hiện sự cố khi chi phí sử dụng tăng bất thường.
Báo cáo cho biết 22 ứng dụng Android phổ biến đang gặp tình trạng này, với tổng lượt cài đặt hơn 500 triệu, cho thấy mức độ ảnh hưởng không chỉ giới hạn ở một số ít ứng dụng mà có thể tác động tới hàng trăm triệu người dùng trên toàn cầu.
Dù không trực tiếp nhìn thấy các khóa API, người dùng cuối vẫn có nguy cơ chịu ảnh hưởng nếu ứng dụng họ sử dụng không được bảo vệ đúng cách.
Điều khiến sự cố này đáng lo là hậu quả không dừng ở khía cạnh kỹ thuật. Khi khóa API bị lộ, kẻ xấu có thể dùng nó để gửi yêu cầu đến Gemini như thể họ là người được phép sử dụng dịch vụ.
Mỗi lần như vậy có thể làm phát sinh chi phí cho chủ tài khoản hoặc đơn vị sở hữu hệ thống. Nếu việc khai thác diễn ra liên tục, hóa đơn có thể tăng rất nhanh.
Báo cáo của CloudSEK nêu ra những trường hợp thiệt hại tài chính thực tế. Có cá nhân được cho là mất hơn 15.000 USD chỉ trong một đêm vì tài khoản bị khai thác trái phép. Một doanh nghiệp ở Nhật Bản cũng chịu tổn thất lên tới khoảng 128.000 USD. Những con số này cho thấy đây không còn là rủi ro trên lý thuyết, mà là vấn đề có thể gây thiệt hại rất cụ thể và rất nặng nề.
Với người dùng phổ thông, câu hỏi đặt ra là: Mình có thể làm gì? Thực tế, đa số người dùng sẽ không tự mình kiểm tra được khóa API hay cấu hình hệ thống phía sau ứng dụng. Nhưng điều đó không có nghĩa là bạn hoàn toàn bất lực.
Cách an toàn nhất là ưu tiên các ứng dụng uy tín, có cập nhật thường xuyên, và tránh cài đặt những ứng dụng lạ không rõ nguồn gốc. Với các ứng dụng đã dùng lâu ngày, việc cập nhật phiên bản mới nhất cũng rất quan trọng, vì nhiều bản vá bảo mật thường được phát hành theo kiểu âm thầm nhưng cần thiết.
Ở phía nhà phát triển, sự cố này là lời nhắc rõ ràng rằng một thay đổi hạ tầng dù nhỏ cũng có thể tạo ra hậu quả lớn nếu không được đánh giá lại toàn diện. Các khóa API cần được quản lý chặt chẽ hơn, giới hạn quyền truy cập rõ ràng hơn, và phải có cơ chế theo dõi bất thường để phát hiện sớm các hành vi khai thác trái phép. Khi AI ngày càng đi sâu vào ứng dụng hằng ngày, an toàn không còn là lớp bổ sung, mà phải trở thành phần cốt lõi ngay từ đầu.
Hoàn thành chuyến bay có người lái đầu tiên vượt khỏi quỹ đạo Trái Đất thấp sau 54 năm, tàu Orion chở phi hành đoàn Artemis II tái nhập khí quyển và đáp xuống Thái Bình Dương an toàn hôm 10/4.
Phi hành đoàn, gồm chỉ huy nhiệm vụ Reid Wiseman (NASA), phi công Victor Glover (NASA), chuyên gia nhiệm vụ Christina Koch (NASA) và chuyên gia nhiệm vụ Jeremy Hansen (Cơ quan Vũ trụ Canada CSA), sau đó đến sân bay Ellington tại Trung tâm Vũ trụ Johnson của NASA trong sự chào đón nhiệt liệt. Họ cũng gặp lại gia đình sau hành trình lịch sử kéo dài 10 ngày.
Tại cuộc họp báo do NASA tổ chức, Koch kêu gọi mọi người trân trọng thế giới chung. "Điều khiến tôi ấn tượng không chỉ là Trái Đất, mà còn là toàn bộ không gian tối đen xung quanh. Trái Đất giống như chiếc thuyền cứu sinh đang lơ lửng yên bình trong vũ trụ", Koch nói, gọi hành tinh xanh là một "phi hành đoàn".
Trong khi đó, Glover chia sẻ: "Điều lớn hơn cả sự khó khăn khi diễn tả những gì chúng tôi trải qua là lòng biết ơn khi được thấy những gì đã thấy, làm những gì đã làm và ở bên các đồng đội".
Còn Hansen bày tỏ, chuyến bay là trải nghiệm phi thường với ông cùng đồng đội. Ông vui mừng khi biết những người theo dõi sứ mệnh dưới Trái Đất cũng có cảm nhận tương tự. "Những gì các bạn thấy là một nhóm người yêu thích cống hiến, tạo ra những cống hiến ý nghĩa và tìm thấy niềm vui trong đó. Chúng tôi nghe được rằng đó cũng là điều đặc biệt với các bạn. Tôi muốn nói khi nhìn lên đây, các bạn không chỉ đang nhìn chúng tôi. Chúng tôi là tấm gương phản chiếu các bạn", ông nói
Xuyên suốt chuyến đi, các phi hành gia có thể trò chuyện với người thân qua cuộc gọi ngắn từ xa. Wiseman nhận xét, việc lắng nghe những cuộc trò chuyện của đồng đội khi cùng chen chúc trên tàu vũ trụ Orion rộng 5 m là trải nghiệm gắn kết đáng nhớ.
"Victor, Christina và Jeremy, chúng tôi sẽ mãi mãi gắn kết với nhau, và không ai ở đây biết được những gì bốn chúng tôi vừa trải qua. Đó sẽ là điều đặc biệt nhất xảy ra trong cuộc đời tôi", ông nói.
Wiseman thừa nhận, việc cách xa nhà hơn 300.000 km không dễ dàng. "Trước khi phóng, cảm giác như đó là giấc mơ tuyệt vời nhất trên đời, nhưng khi ở ngoài đó, bạn lại muốn trở về với gia đình và bạn bè. Được làm người là một điều đặc biệt, sống trên hành tinh Trái Đất cũng vậy", Wiseman xúc động chia sẻ. Bốn phi hành gia sau đó cùng ôm nhau trên sân khấu.
Đề cập đến công cuộc khám phá không gian trong tương lai, chỉ huy nhiệm vụ Artemis II cho rằng đã đến lúc phải sẵn sàng và lên đường. "Điều đó cần lòng dũng cảm và sự quyết tâm. Các bạn rồi sẽ lên đường, còn chúng tôi sẽ ở đó, hỗ trợ các bạn trên mỗi bước đi bằng mọi cách có thể".
Jared Isaacman, Giám đốc NASA, đánh giá Artemis II sẽ luôn được ghi nhớ vì đánh dấu thời khắc phi hành đoàn và mọi người trên khắp thế giới nhìn thấy Mặt Trăng một lần nữa, khi "giấc mơ thời thơ ấu trở thành những sứ mệnh". Artemis II cũng mở đường cho các nhiệm vụ tương lai như Artemis III, dự kiến triển khai năm 2027.
Theo Isaacman, việc lắp ráp phương tiện và công bố phi hành đoàn cho Artemis III sẽ sớm diễn ra. "Phi hành đoàn tiếp theo sẽ bắt đầu chuẩn bị thực hiện vai trò của mình khi chúng ta quay lại bề mặt Mặt Trăng, xây dựng căn cứ và không bao giờ từ bỏ Mặt Trăng nữa", ông tuyên bố.
Vanessa Wyche, Giám đốc Trung tâm Vũ trụ Johnson, cho rằng niềm hạnh phúc mà phi hành đoàn lan tỏa sẽ tiếp thêm sức mạnh và truyền cảm hứng cho một thế hệ mới tin giấc mơ của họ hoàn toàn có thể trở thành hiện thực.
"Chuyến bay này sẽ giúp vô số học sinh trở thành nhà khoa học, kỹ sư, nhà phát minh, nhà toán học và phi hành gia tương lai, những người dám khai phá chân trời mới trong không gian và mở rộng giới hạn của những điều có thể vì lợi ích chung cho tất cả", Wyche nói.
Thắc mắc này được nhiều người đưa ra sau khi Thông tư 08 của Bộ Khoa học và Công nghệ về hướng dẫn xác thực thông tin thuê bao di động mặt đất có hiệu lực ngày 15/4. Theo đại diện một nhà mạng, đây là hai hoạt động khác nhau, dù đều liên quan đến việc quản lý thông tin thuê bao di động.
Xác thực thông tin thuê bao
Đây là việc nhà mạng kiểm tra danh tính người đăng ký. Người dùng phải cung cấp 4 trường thông tin gồm: số định danh cá nhân (như CCCD), họ tên, ngày sinh, ảnh khuôn mặt.
Hệ thống sau đó đối chiếu thông tin với Cơ sở dữ liệu quốc gia về dân cư, nhằm đảm bảo mỗi số điện thoại gắn với một người thật. Hoạt động này được các nhà mạng triển khai nhiều năm qua, đặc biệt từ đợt chuẩn hóa thông tin thuê bao năm 2023.
Do đó, khi người dùng nhận được tin nhắn từ nhà mạng rằng "không cần thực hiện thêm thao tác nào khác" đồng nghĩa họ đã xác thực thông tin thuê bao thành công.
Xác nhận SIM chính chủ trên VNeID
Tuy nhiên, cơ quan quản lý ghi nhận tình trạng có người được thuê đăng ký SIM hoặc bị đánh cắp thông tin cá nhân để đứng tên số máy lạ. Những số điện thoại đó được bán ra thị trường dưới dạng SIM kích hoạt sẵn. Có nghĩa, các thuê bao di động đều có người đứng tên, nhưng chưa chắc chủ thuê bao là người sử dụng thực tế.
Các số này dễ bị lợi dụng để lừa đảo, phát tán tin nhắn, cuộc gọi rác. Việc quản lý vì thế cũng gặp khó, trong khi người bị sử dụng thông tin cá nhân để đứng tên có thể bị liên đới trách nhiệm mà không hay biết.
Để giải quyết vấn đề, Thông tư 08 lần đầu cho phép người dùng chủ động xác nhận SIM chính chủ thông qua ứng dụng VNeID. Theo đó, dữ liệu xác thực thuê bao đề cập ở trên sẽ được các nhà mạng đồng bộ lên ứng dụng để người dùng di động tra cứu toàn bộ số điện thoại đứng tên mình. Từ danh sách đó, họ xác nhận số đang dùng và loại bỏ số không còn sử dụng hoặc số điện thoại lạ.
Như vậy, có thể hiểu đơn giản, xác thực là nhà mạng kiểm tra thông tin người dùng, còn xác nhận SIM chính chủ là người dùng tự kiểm tra các số điện thoại đứng tên mình.
Những số bị người dùng đánh dấu "không sử dụng" sẽ được nhà mạng liên hệ trực tiếp để xác thực lại. Nếu không có phản hồi, thuê bao đó mới bị khóa theo quy định. Cách làm này giúp người dùng chủ động kiểm soát, thay vì phụ thuộc vào nhà mạng như trước.
Về cơ bản, tất cả thuê bao di động đều nên xác nhận SIM chính chủ, không phân biệt trả trước hay trả sau. Người dùng chỉ cần mở ứng dụng VNeID, thực hiện thao tác theo hướng dẫn của ứng dụng mà không phải cung cấp thêm bất kỳ thông tin cá nhân nào.
Có một số trường hợp ngoại lệ, như số điện thoại đang sử dụng để đăng ký tài khoản VNeID sẽ không phải xác nhận. Tuy vậy, người dùng vẫn cần theo dõi thông báo từ nhà mạng hoặc ứng dụng để thực hiện nếu có yêu cầu.
Việc đồng bộ dữ liệu nhà mạng với VNeID diễn ra từng đợt, trong vòng 30 ngày kể từ 15/4, do đó không phải ai cũng nhận được thông báo ngay. Sau 15/5, khi việc đồng bộ dữ liệu hoàn tất, người dùng nên chủ động kiểm tra trên VNeID và xác nhận SIM chính chủ để tránh bị gián đoạn dịch vụ.
Ở góc độ nhà mạng, đại diện VNPT cho biết việc bổ sung xác thực sinh trắc học và quy trình mới "không đơn thuần là thủ tục hành chính, mà là nỗ lực làm sạch môi trường số, xóa sổ SIM rác và bảo vệ người dùng trước các hình thức lừa đảo công nghệ cao".
Trong khi đó, đại diện Viettel nhận định quy trình xác thực hiện đã được thiết kế theo hướng đơn giản, dễ thực hiện. Người dùng "có thể tự thực hiện mọi lúc, mọi nơi mà không cần ra cửa hàng".
Cùng với iOS 26.4.2, Apple cũng phát hành các bản cập nhật cho loạt thiết bị của hãng, bao gồm iPadOS 26.4.2, iOS 18.7.8 và iPadOS 18.7.8. Bên cạnh đó, Apple đang thử nghiệm phiên bản beta của iOS 26.5 với dự kiến ra mắt trong vài tuần tới.
Mặc dù chỉ là bản cập nhật nhỏ nhưng iOS 26.4.2 được khuyến cáo cập nhật do tập trung chủ yếu vào việc sửa lỗi và cải thiện bảo mật. Theo ghi chú phát hành từ Apple, bản cập nhật này nhằm khắc phục một lỗ hổng bảo mật nghiêm trọng liên quan đến thông báo.
Cụ thể, tuy người dùng đã xóa thông báo, hệ thống vẫn lưu trữ nội dung của chúng. Vấn đề này có thể cho phép người khác xem được tin nhắn của người dùng, ngay cả khi họ đã xóa ứng dụng và sử dụng tính năng tin nhắn tự xóa, đặc biệt nếu người dùng đã bật tính năng xem trước trên màn hình khóa.
Apple đã nhận thức được lỗ hổng này sau khi có thông tin cho rằng Cục Điều tra liên bang Mỹ (FBI) đã có thể truy cập vào cơ sở dữ liệu thông báo nội bộ của iPhone, cho phép cơ quan thực thi pháp luật xem trước tin nhắn. Trong khi lỗ hổng này được phát hiện trong ứng dụng nhắn tin Signal, nhiều khả năng các ứng dụng tương tự như WhatsApp cũng bị ảnh hưởng.
Do đó, người dùng iPhone được khuyến nghị nên cài đặt bản cập nhật này càng sớm càng tốt. Để thực hiện, người dùng chỉ cần vào Cài đặt > Cài đặt Chung > Cập nhật phần mềm và tải xuống iOS 26.4.2. Đây là một bản cập nhật nhỏ nhưng quan trọng cho sự bảo mật của thiết bị.
