Một báo cáo an ninh mạng gần đây cảnh báo hàng loạt ứng dụng Android phổ biến đang vô tình để lộ khóa truy cập Google Gemini, mở ra nguy cơ bị khai thác trái phép mà người dùng thông thường khó có thể nhận ra.
Theo báo cáo của Công ty an ninh mạng CloudSEK, vấn đề nằm ở các khóa API mà ứng dụng sử dụng để kết nối với dịch vụ của Google, vốn được ví như ‘chìa khóa’ cho phép ứng dụng giao tiếp với hệ thống AI của hãng.
Trước đây, các khóa này được xem là thành phần kỹ thuật bình thường và nhiều nhà phát triển vẫn tích hợp sẵn trong ứng dụng mà không gây lo ngại, do chúng không được thiết kế để mở rộng quyền truy cập theo cách nguy hiểm như hiện nay.
Tuy nhiên khi Google Gemini được tích hợp vào hệ sinh thái Google Cloud, các khóa truy cập cũ trở nên nhạy cảm hơn đáng kể, không chỉ còn là mã định danh kỹ thuật mà có thể trở thành cánh cửa truy cập vào các dịch vụ AI có tính phí.
Đáng chú ý, sự thay đổi này diễn ra âm thầm, khiến nhiều nhà phát triển không được cảnh báo đầy đủ rằng những khóa từng được xem là an toàn có thể bị khai thác theo cách hoàn toàn khác.
Theo cách ví von, một chiếc chìa khóa vốn chỉ mở cửa phụ nay có thể mở cả kho chứa tài sản giá trị, và nếu bị lộ, nó có thể bị sử dụng để truy cập trái phép vào các tài nguyên không thuộc quyền sở hữu.
Vấn đề nằm ở chỗ các doanh nghiệp hoặc nhà phát triển có thể chỉ phát hiện sự cố khi chi phí sử dụng tăng bất thường.
Báo cáo cho biết 22 ứng dụng Android phổ biến đang gặp tình trạng này, với tổng lượt cài đặt hơn 500 triệu, cho thấy mức độ ảnh hưởng không chỉ giới hạn ở một số ít ứng dụng mà có thể tác động tới hàng trăm triệu người dùng trên toàn cầu.
Dù không trực tiếp nhìn thấy các khóa API, người dùng cuối vẫn có nguy cơ chịu ảnh hưởng nếu ứng dụng họ sử dụng không được bảo vệ đúng cách.
Điều khiến sự cố này đáng lo là hậu quả không dừng ở khía cạnh kỹ thuật. Khi khóa API bị lộ, kẻ xấu có thể dùng nó để gửi yêu cầu đến Gemini như thể họ là người được phép sử dụng dịch vụ.
Mỗi lần như vậy có thể làm phát sinh chi phí cho chủ tài khoản hoặc đơn vị sở hữu hệ thống. Nếu việc khai thác diễn ra liên tục, hóa đơn có thể tăng rất nhanh.
Báo cáo của CloudSEK nêu ra những trường hợp thiệt hại tài chính thực tế. Có cá nhân được cho là mất hơn 15.000 USD chỉ trong một đêm vì tài khoản bị khai thác trái phép. Một doanh nghiệp ở Nhật Bản cũng chịu tổn thất lên tới khoảng 128.000 USD. Những con số này cho thấy đây không còn là rủi ro trên lý thuyết, mà là vấn đề có thể gây thiệt hại rất cụ thể và rất nặng nề.
Với người dùng phổ thông, câu hỏi đặt ra là: Mình có thể làm gì? Thực tế, đa số người dùng sẽ không tự mình kiểm tra được khóa API hay cấu hình hệ thống phía sau ứng dụng. Nhưng điều đó không có nghĩa là bạn hoàn toàn bất lực.
Cách an toàn nhất là ưu tiên các ứng dụng uy tín, có cập nhật thường xuyên, và tránh cài đặt những ứng dụng lạ không rõ nguồn gốc. Với các ứng dụng đã dùng lâu ngày, việc cập nhật phiên bản mới nhất cũng rất quan trọng, vì nhiều bản vá bảo mật thường được phát hành theo kiểu âm thầm nhưng cần thiết.
Ở phía nhà phát triển, sự cố này là lời nhắc rõ ràng rằng một thay đổi hạ tầng dù nhỏ cũng có thể tạo ra hậu quả lớn nếu không được đánh giá lại toàn diện. Các khóa API cần được quản lý chặt chẽ hơn, giới hạn quyền truy cập rõ ràng hơn, và phải có cơ chế theo dõi bất thường để phát hiện sớm các hành vi khai thác trái phép. Khi AI ngày càng đi sâu vào ứng dụng hằng ngày, an toàn không còn là lớp bổ sung, mà phải trở thành phần cốt lõi ngay từ đầu.
iPhone được chọn sử dụng trên Artemis II thế nào?
Khoảng bốn tiếng sau khi cất cánh trong chuyến bay đầu tiên đến Mặt Trăng kể từ năm 1972, một chiếc iPhone màu bạc trôi lơ lửng ngang qua camera đặt phía trên buồng lái của tàu vũ trụ Orion trong sứ mệnh Artemis II. Smartphone này rời khỏi tay chuyên gia nhiệm vụ Jeremy Hansen (Cơ quan Vũ trụ Canada CSA), bay qua đầu chỉ huy nhiệm vụ Reid Wiseman (NASA), phi công Victor Glover (NASA), chuyên gia nhiệm vụ Christina Koch (NASA) rồi rơi vào tay Christina Koch (NASA).
Đây là lần thứ hai phi hành gia NASA được phép mang smartphone cá nhân ra ngoài vũ trụ, sau sứ mệnh Crew-12 đến Trạm Vũ trụ Quốc tế (ISS) vào tháng 2. NASA hồi tháng 3 cho biết đã cung cấp cho mỗi phi hành gia một chiếc smartphone đời mới nhất và iPhone được chọn.
Những chiếc iPhone này không thể gọi điện hay chơi game do không kết nối Internet hoặc sử dụng Bluetooth. Chúng chủ yếu được dùng để chụp ảnh và quay video, trong đó chỉ huy Wiseman đã chụp một số bức ảnh đầu tiên gửi về Trái Đất. Bà Koch và ông Hansen cũng chụp ảnh và quay video ông Glover và Wiseman khi khoang tàu di chuyển xung quanh tên lửa, theo video trực tiếp của NASA phát trên YouTube.
"Chúng tôi cung cấp cho phi hành đoàn những công cụ ghi lại khoảnh khắc đặc biệt, giúp họ chia sẻ những hình ảnh và video đầy cảm hứng với thế giới", Jared Isaacman, người đứng đầu NASA, viết trên X hồi tháng 2. "Quan trọng không kém, chúng tôi đã thách thức các quy trình lâu đời để chứng nhận một phần cứng hiện đại cho chuyến bay vào vũ trụ".
Theo NY Times, việc cấp phép smartphone bay vào vũ trụ là quá trình không dễ dàng. "Thông thường, quy trình này có bốn giai đoạn", PGS Tobias Niederwieser của trung tâm nghiên cứu vũ trụ BioServe Space Technologies thuộc Đại học Colorado Boulder (Mỹ), giải thích. "Giai đoạn đầu tiên đưa thiết bị phần cứng vào bảng điều khiển an toàn, sau đó xác định mối nguy hiểm tiềm tàng, từ các bộ phận chuyển động đến vật liệu như thủy tinh có thể vỡ. Giai đoạn thứ ba sẽ đưa ra kế hoạch giải quyết mối nguy hiểm đó. Cuối cùng là chứng minh rằng kế hoạch đó hiệu quả".
iPhone 17 Pro Max - mẫu smartphone được các phi hành gia Artemis II lựa chọn - hiện đáp ứng các cầu này. Máy trang bị Ceramic Shield 2 ở mặt trước và Ceramic Shield ở mặt sau. Apple từng nhấn mạnh Ceramic Shield 2 "cứng cáp hơn bất kỳ loại kính smartphone nào khác".
Về việc iPhone "được" bay vào vũ trụ, Apple cho biết không tham gia vào quy trình phê duyệt cho sứ mệnh Artemis II. Tuy nhiên, nói với 9to5mac, công ty nhấn mạnh smartphone mới nhất "đáp ứng đầy đủ tiêu chuẩn để sử dụng lâu dài trên quỹ đạo".
iPhone không phải là thiết bị số duy nhất được các phi hành gia chụp ảnh và quay video. Phi hành đoàn còn trang bị hai chiếc máy ảnh Nikon D5 ra mắt năm 2016 và bốn chiếc GoPro Hero 11 giới thiệu năm 2022.
Artemis II đánh dấu sứ mệnh có người lái đầu tiên của NASA vượt ra ngoài quỹ đạo Trái Đất tầm thấp sau 54 năm. Phi hành đoàn gồm chỉ huy nhiệm vụ Reid Wiseman (NASA), phi công Victor Glover (NASA), chuyên gia nhiệm vụ Christina Koch (NASA) và chuyên gia nhiệm vụ Jeremy Hansen (Cơ quan Vũ trụ Canada CSA). Họ có 10 ngày bay quanh Mặt Trăng, thực hiện các thí nghiệm nghiên cứu khoa học, thử nghiệm khả năng điều khiển tàu vũ trụ, kiểm tra y tế, huấn luyện sinh tồn và nhiều công việc khác.
Tính đến sáng 4/4, phi hành đoàn bốn người đã cách Trái Đất hơn 229.000 km, bắt đầu gửi về những hình ảnh đầu tiên về "quả cầu xanh". Họ còn khoảng 190.000 km để tiếp cận Mặt Trăng. Phi hành đoàn dự kiến tiến vào "vùng ảnh hưởng của Mặt Trăng" vào tối 5/4.
Bảo Lâm tổng hợp
Toàn cảnh Trái Đất nhìn từ Artemis II
Phi hành đoàn Artemis II vượt mốc 'nửa đường tới Mặt Trăng'
Điểm đặc biệt của bốn phi hành gia Artemis II
Chương trình Mặt Trăng mới của Mỹ khác gì 54 năm trước?
Tàu Orion rời quỹ đạo Trái Đất tiến đến Mặt Trăng
Tin Gốc: https://vnexpress.net/iphone-duoc-chon-su-dung-tren-artemis-ii-the-nao-5058645.html
Thông tin danh tính 'cha đẻ' Bitcoin rộ trở lại
Trong bài viết trên New York Times, nhà báo nổi tiếng John Carreyrou, người từng phơi bày vụ bê bối về công ty khởi nghiệp Theranos của Elizabeth Holmes, cho biết đã có khoảng thời gian nói chuyện với nhà khoa học máy tính người Anh Adam Back tại một công viên ở Riga (Latvia).
Khi Carreyrou nhắc đến tên ông trong số những người được dự đoán là "cha đẻ" Bitcoin, Back trở nên căng thẳng, phủ nhận mình là Satoshi và yêu cầu cuộc trò chuyện này cần được giữ kín. Theo Carreyrou, hành động của Adam Back khi đó thể hiện "ánh mắt nói dối, tiếng cười gượng gạo, cử động giật cục của bàn tay trái" khiến ông nghi ngờ.
Ông sau đó dành thời gian tìm hiểu và thấy một số manh mối. Trước hết, vấn đề liên quan đến khối (block) giao dịch đầu tiên của Bitcoin. Trong block, Satoshi nhúng một đoạn văn bản từ tiêu đề bài báo "Bộ trưởng Tài chính sắp thực hiện gói cứu trợ thứ hai cho các ngân hàng" của The Times ngày 3/1/2009. "Nó như dấu hiệu cho thấy Satoshi là người Anh", Carreyrou viết.
Nhà báo này cũng phân tích email của Satoshi cùng những bài viết trên diễn đàn và mạng xã hội của Back. Ông nhận ra hai người có phong cách viết tương tự nhau, đặc biệt là sử dụng các thuật ngữ đặc biệt.
Bên cạnh đó, Carreyrou cũng cho rằng Satoshi rất có thể cũng là một thành viên của Cypherpunk, nhóm được thành lập đầu những năm 1990, muốn sử dụng mật mã học, nghệ thuật bảo mật thông tin liên lạc bằng mã, để giải phóng cá nhân khỏi sự giám sát và kiểm duyệt của chính phủ. Back cũng là một Cypherpunk.
Ngoài ra, Back đã phát minh ra Hashcash - hệ thống giải câu đố thống kê mà Satoshi đã dùng cho thuật toán khai thác Bitcoin - một trong các yếu tố để khẳng định nhà khoa học máy tính này là cha đẻ Bitcoin. Satoshi từng nhắc đến Back và Hashcash trong sách trắng Bitcoin.
Adam Back từng công bố một số email trong vụ kiện liên quan đến Craig Wright - người Australia từng nhận là "cha đẻ" Bitcoin. Trong đó, Satoshi liên lạc với Back vào tháng 8/2008 trước khi công bố sách trắng Bitcoin.
"Email dường như là bằng chứng rằng Back không thể là Satoshi", Carreyrou viết. "Tuy nhiên, nghĩ kỹ hơn, tôi nhận ra một khả năng khác: Back hoàn toàn có thể gửi loạt email đó cho chính mình như một cách để che đậy".
Sau thông tin trên, các diễn đàn và mạng xã hội như Reddit, X "dậy sóng" và nổ ra tranh cãi. Theo Fortune, những gì Carreyrou đưa ra "không phải phỏng đoán tồi". Back từ lâu đã là người có ảnh hưởng trong giới tiền điện tử. Hashcash, một hình thức tiền kỹ thuật số ra đời trước Bitcoin do ông phát minh, đã được ứng dụng. Back cũng là CEO Blockstream, công ty về cơ sở hạ tầng Bitcoin đời đầu và hiện tích lũy một lượng lớn Bitcoin. Tuy nhiên, Fortune cũng đánh giá các dữ kiện đủ căn cứ để khẳng định.
"Tôi không phải Satoshi, nhưng là người đầu tiên tập trung cao độ vào những tác động tích cực của mật mã học, quyền riêng tư trực tuyến và tiền điện tử đối với xã hội", Adam Back phản hồi trên X ngày 8/4. "Vì vậy, từ năm 1992 trở đi, tôi đã tích cực tham gia nghiên cứu ứng dụng về tiền số, công nghệ bảo mật trên diễn đàn Cypherpunk, dẫn đến sự ra đời của Hashcash và các ý tưởng khác".
Trước đó, một loạt tên tuổi đã được "xướng tên" là người tạo ra Bitcoin, như Hal Finney, Dorian S. Nakamoto, Nick Szabo và Elon Musk. Tuy vậy, chưa ai trong số họ được xác nhận là cha đẻ Bitcoin.
Theo TechCrunch, việc tìm ra danh tính Satoshi Nakamoto có thể ảnh hưởng đến niềm tin và thị trường. Nếu lộ diện, số Bitcoin người này nắm giữ (hiện trên một triệu token) có thể gây biến động thị trường, đồng thời làm thay đổi cách nhìn về tính phi tập trung của Bitcoin. Ngoài ra, vấn đề pháp lý và áp lực từ các chính phủ trên thế giới có thể xuất hiện. Tuy vậy, nhiều chuyên gia cho rằng Bitcoin hiện đã vận hành độc lập, không còn phụ thuộc vào người sáng lập.
Bảo Lâm tổng hợp
Tin Gốc: https://vnexpress.net/thong-tin-danh-tinh-cha-de-bitcoin-ro-tro-lai-5060504.html
