Từ ngày 1/3 tới đây, các ngân hàng sẽ đồng loạt áp dụng quy định bảo mật mới theo Thông tư 77/2025 do Ngân hàng Nhà nước ban hành. Theo đó, nhiều người dùng có thể không thực hiện được giao dịch rút hoặc chuyển tiền trên ứng dụng di động nếu thiết bị không đáp ứng tiêu chuẩn an toàn.
Theo Thông tư 77 của Ngân hàng Nhà nước có hiệu lực từ đầu tháng 3, ứng dụng ngân hàng di động (mobile banking) sẽ không hoạt động trên các thiết bị đã bị can thiệp hệ thống. Cụ thể, điện thoại Android đã root, iPhone đã jailbreak hoặc thiết bị đã mở khóa cơ chế bảo vệ (unlock bootloader) sẽ không thể truy cập và sử dụng ứng dụng ngân hàng.
Mobile banking sẽ không hoạt động được nếu điện thoại bị bẻ khóa.
Root, jailbreak và unlock bootloader là các phương thức phá vỡ lớp bảo mật do nhà sản xuất thiết lập. Với Android, root cho phép người dùng giành quyền kiểm soát cao nhất đối với hệ thống, có thể can thiệp vào tập tin, xóa ứng dụng mặc định hoặc thay đổi các thành phần cốt lõi của hệ điều hành.
Trên iOS, jailbreak là quá trình gỡ bỏ các hạn chế phần mềm nhằm cài đặt ứng dụng từ nguồn bên ngoài. Unlock bootloader là thao tác mở khóa tầng sâu của phần cứng, cho phép cài đặt hệ điều hành tùy chỉnh (custom ROM), đồng nghĩa với việc vô hiệu hóa một lớp bảo vệ ngay từ khi thiết bị khởi động.
Việc bẻ khóa làm suy giảm các lớp phòng vệ vốn có, tạo điều kiện để mã độc xâm nhập vào ứng dụng ngân hàng, đánh cắp thông tin hoặc ghi lại thao tác màn hình. Thiết bị đã bị can thiệp cũng có thể bị chiếm quyền điều khiển camera, giả lập xác thực vân tay hoặc khuôn mặt mà người dùng không nhận biết. Ngoài ra, các thiết bị này thường không nhận được bản cập nhật bảo mật chính thức, làm gia tăng nguy cơ bị tấn công bởi virus và phần mềm gián điệp.
Trên thực tế, việc bẻ khóa không phải lúc nào cũng xuất phát từ nhu cầu của người dùng mà có thể do bên bán thực hiện, đặc biệt với hàng xách tay. Nhiều mẫu Android nội địa không có tiếng Việt, không tích hợp kho ứng dụng hoặc gặp tình trạng chậm thông báo nên cửa hàng tiến hành root để cài hệ điều hành quốc tế.
Đối với iPhone khóa mạng (iPhone lock), một số nơi jailbreak nhằm khắc phục lỗi danh bạ, tin nhắn hoặc hỗ trợ sử dụng SIM ghép. Dù hiện đã có các giải pháp khác không cần bẻ khóa, vẫn còn nhiều thiết bị đời cũ đã bị can thiệp hệ thống và không được cập nhật hệ điều hành mới.
Bên cạnh đó, ứng dụng ngân hàng cũng sẽ tự động ngừng hoạt động nếu phát hiện thiết bị đang kết nối với các công cụ hỗ trợ kỹ thuật như trình gỡ lỗi (debugger) hoặc cổng giao tiếp ADB với máy tính. Đây là những công cụ cho phép máy tính can thiệp sâu hoặc điều khiển điện thoại từ xa và có thể bị lợi dụng để chiếm quyền giao dịch.
Mobile banking đồng thời không hoạt động trên các môi trường giả lập hoặc máy ảo chạy trên máy tính. Các môi trường này không có đầy đủ lớp bảo mật phần cứng và dễ bị lợi dụng để thực hiện các cuộc tấn công tự động. Quy định mới cũng áp dụng với các ứng dụng đã bị chỉnh sửa mã nguồn (repacking) hoặc bị chèn mã theo dõi (hook) nhằm thu thập dữ liệu trái phép.
Quy định nêu trên được áp dụng bắt buộc đối với toàn bộ hệ thống tổ chức tín dụng, không phải chính sách riêng của bất kỳ ngân hàng nào. Do đó, việc chuyển sang sử dụng ứng dụng của ngân hàng khác không giúp người dùng tránh các yêu cầu kỹ thuật này.
Để tránh gián đoạn giao dịch từ ngày 1/3, người dùng nên kiểm tra tình trạng thiết bị đang sử dụng. Điện thoại không nên ở trạng thái đã "root" hoặc "jailbreak", đồng thời cần tắt các chế độ cho phép can thiệp sâu vào hệ điều hành như ADB hoặc chạy giả lập.
Ngoài ra, ứng dụng ngân hàng nên được tải từ kho ứng dụng chính thức; hệ điều hành và ứng dụng cần được cập nhật lên phiên bản mới nhất, đặc biệt khi thay đổi thiết bị hoặc cài đặt lại dịch vụ. Việc duy trì thiết bị ở trạng thái bảo mật và cập nhật đầy đủ giúp giao dịch ngân hàng diễn ra ổn định, hạn chế nguy cơ bị hệ thống tự động ngắt kết nối.
Quỳnh Chi (t/h)
