• Thứ Hai, 13/04/2015 19:29 (GMT+7)

    Cài Popcorn Time không cần jailbreak liệu có an toàn?

    Bùi Lê Duy
    (PCWorldVN) Apple đang phải đối mặt với một ứng dụng tìm cách cài lên thiết bị iOS mà không qua App Store, và đó chính là Popcorn Time, ứng dụng khiến Hollywood và nhiều dịch vụ streaming video đau đầu từ năm ngoái.

    Ứng dụng xem video "lậu" và cực kỳ phổ biến Popcorn Time xưa nay phải đối đầu với giới luật sư về bảo vệ bản quyền của Hollywood. Nhưng hiện thời, ứng dụng này còn phải đối đầu thêm với một trong những công ty lớn nhất thế giới công nghệ. Tình hình hiện thời, Popcorn Time đang ở thế thắng.

    Hôm thứ 4 tuần trước, Popcorn Time lên kế hoạch tung ra phiên bản cho iOS, nghĩa là đưa nền tảng xem phim lậu này (qua mạng ngang hàng BitTorrent) lên hàng triệu thiết bị iPad và iPhone. Dĩ nhiên, ứng dụng này bị Apple không cấp quyền vì vi phạm chính sách rất chặt chẽ về phần mềm trên App Store vì vi phạm bản quyền nội dung, đồng thời từ xưa đến nay, Apple không cho phép người dùng cài đặt ứng dụng bên ngoài App Store lên thiết bị iOS.

    Do vậy, các nhà phát triển không xưng danh của Popcorn Time lại tận dụng một kẽ hở trong các ràng buộc tải về của Apple để "giải quyết" App Store và giúp người dùng cài đặt được ứng dụng trên thiết bị iOS mà không cần Apple cho phép. Đây là động thái mới nhất cho thấy sự xung đột giữa các nhà lập trình ứng dụng miễn phí với đội ngũ bảo mật của Apple.

    Giao diện Popcorn Time trên iPhone.

    Các nhà phát triển Popcorn-Time.se, một trong vài nhánh phổ biến nhất của phần mềm nguồn mở Popcorn Time, cho rằng họ hợp tác với một đội ngũ nhà phát triển ẩn danh khác để tạo một công cụ gọi là iOS Installer for Windows. Chương trình này cho phép người dùng cài đặt Popcorn Time lên thiết bị iOS qua máy tính chạy Windows, không cần qua App Store. Công cụ này không cần phải "jailbreak" điện thoại hay máy tính bảng, là cách làm vượt mặt vừa tiện và vừa mạnh để loại bỏ mọi tính năng bảo mật và cài đặt gốc của Apple. Theo các nhà phát triển này, trong vài tuần tới họ cũng sẽ đưa ra phiên bản Popcorn Time cho Mac.

    Một nhà phát triển đề nghị giấu tên của Popcorn-Time.se nói qua email rằng: "Chúng tôi cố tìm ra một giải pháp giúp người dùng iOS không muốn jailbreak... vẫn có thể trải nghiệm Popcorn Time trên thiết bị iOS. Mục tiêu này của chúng tôi đã thu hút nhiều nhà phát triển xuất sắc khác cùng tham gia, và cuối cùng có được một giải pháp tuyệt vời đó là bộ cài đặt iOS... Cuối cùng, người dùng có được là ứng dụng Popcorn Time trên thiết bị iOS không cần jailbreak, họ chỉ việc tải phần mềm iOS Installer về máy tính bàn... kết nối với thiết bị iOS với máy tính qua cáp USB, và sau đó làm vài bước cài đặt đơn giản là xong."

    Các nhà phát triển Popcorn Time và iOS Installer không tiết lộ mọi chi tiết về cách làm thế nào họ vượt qua được rào cản bảo mật của Apple. Một người nói: "Chúng tôi không muốn gây chiến với Apple. Chúng tôi giữ được thông tin này càng lâu thì chúng tôi càng trở nên mạnh hơn."

    Tuy vậy, họ cũng nói mơ hồ về cách vượt qua bảo mật của Apple là họ "tận dụng tính năng Apple cho phép doanh nghiệp cài đặt ứng dụng trên thiết bị cho nhân viên." Nếu như vậy, rất có thể Popcorn Time đang tận dụng chương trình phát triển iOS dành cho doanh nghiệp (iOS Developer Enterprise Program) của Apple. Dịch vụ này có phí 299 USD/năm, cho phép doanh nghiệp và cơ quan chính phủ cài đặt ứng dụng lên thiết bị của nhân viên mà không cần trình mã nguồn cho Apple; Apple bán chứng thực mã hoá của mình cho doanh nghiệp để doanh nghiệp có thể sử dụng để "xác thực" cho ứng dụng, giống như việc Apple xác thực cho các chương trình trên App Store bằng chứng thực đầy đủ thẩm quyền của chính Apple.

    Thông báo về xác thực của iOS trong quá trình cài đặt Popcorn Time.

    Rất có thể Popcorn Time tận dụng khe hẹp này để lách qua. Khi thử cài đặt Popcorn Time lên iOS bằng iOS Installer, hệ thống hiển thị một cảnh báo "untrusted app developer" (ứng dụng chưa được chứng thực) và hỏi người dùng xác thực từ một công ty tên là Richel LLC.

    Trước khi cài đặt, iOS Installer cũng yêu cầu người dùng chuyển thiết bị iOS sang chế độ Airplane Mode để ngắt kết nối thiết bị đến máy chủ Apple. Điều này ngăn không cho thiết bị kiểm tra chứng thực từ danh sách chứng thực hợp lệ của Apple. Nhà phát triển Popcorn-Time.se xác nhận trong một email rằng đội ngũ phát triển sử dụng các chứng thực doanh nghiệp đã hết hạn hoặc chứng thực "dỏm" để cài đặt, mặc dù chúng ta không biết chính xác chuyển sang chế độ Airplane Mode có vượt mặt được các chứng thực không hợp lệ này không.

    Khi cài đặt thành công, ứng dụng của Popcorn-Time.se hoạt động tạm ổn ngay trên thiết bị iOS chạy bản cập nhật mới nhất, với giao diện rất bóng bẩy. Ứng dụng xem trailer rất tốt nhưng lại bị treo khi xem phim đầy đủ. Còn trang blog bittorrent TorrentFreak lại đánh giá rằng ứng dụng này hoạt động "tốt như quảng  cáo".

    Rõ ràng, người dùng chúng ta cần cân nhắc cẩn thận trước khi cài đặt ứng dụng chưa được cấp phép từ các nhà phát triển ẩn danh như Popcorn-Time.se. Mục đích của việc Apple hạn chế khắt khe ứng dụng cài đặt lên iOS là vì họ muốn thiết bị của họ chạy ổn định, lâu dài và an toàn, loại bỏ mọi vấn đề gây mất ổn định và nguy hiểm rò rỉ thông tin. Việc jailbreak thiết bị iOS phá đi lớp bảo vệ này nhưng chúng ta chưa rõ liệu cài đặt ứng dụng mà không qua jailbreak có rủi ro tương tự như jailbreak hay không.

    Popcorn Time đã bùng nổ thực sự hồi năm ngoái như là một ứng dụng xem phim lậu miễn phí, khiến Hollywood và nhiều dịch vụ bán/thuê phim trực tuyến như Netflix phải lao đao. Popcorn-Time.se cho biết tháng rồi, phần mềm của họ có đến 4 triệu lượt tải về, tương đương  mỗi ngày có vài trăm ngàn lượt. Và Popcorn-Time.se trước đây sử dụng tên miền Time4Popcorn.eu, mới chỉ là một trong vài nhóm chỉnh sửa mã nguồn mở gốc của Popcorn Time xuất hiện hồi năm ngoái. Một nhóm cũng rất phổ biến khác là PopcornTime.io.

    Ứng dụng mới của Popcorn-Time.se không phải là phiên bản iOS đầu tiên. Từ tháng 9 năm ngoái, nhóm này đã có một phiên bản xem video miễn phí dành cho iOS jailbreak. Và vào tháng 10/2014, một phiên bản khác từ một nhóm Popcorn Time ít nổi tiếng hơn xuất hiện dành cho iOS. Phiên bản ấy cũng không cần jailbreak nhưng lại yêu cầu người dùng thiết lập lại đồng hồ thiết bị vào thời điểm sớm hơn, lừa điện thoại chấp nhận một chứng thực đã hết hạn. Ngay sau đó, bản cập nhật iOS 8.1 đã vá lỗ hổng đó, chặn cách cài đặt này.

    Chắc chắn Apple sẽ tìm cách đưa ra biện pháp chặn kiểu cài đặt này. Nhưng các nhà phát triển ẩn danh cho biết họ sẵn sàng đáp trả và chuẩn bị cho cuộc đuổi bắt triền miên.

    Nguồn: Wired