Chính phủ Việt Nam cấm dùng "mọi ứng dụng ngân hàng" trên smartphone đã root

 (xdaforums.com)
1 điểm bởi GN⁺ 2026-01-10 | 1 bình luận | Chia sẻ qua WhatsApp
  • Bản sửa đổi 77/2025/TT-NHNN do Ngân hàng Nhà nước Việt Nam ban hành quy định chặn việc chạy ứng dụng ngân hàng di động trong các môi trường có lỗ hổng bảo mật như root, mở khóa bootloader hoặc kết nối ADB
  • Quy định mới có hiệu lực từ ngày 1/3, và nếu ứng dụng phát hiện các dấu hiệu này thì phải tự động đóng và thông báo cho người dùng
  • Các đối tượng bị chặn bao gồm kết nối debugger, chạy emulator, code injection (hook), chỉnh sửa hoặc đóng gói lại ứng dụng
  • Người dùng trên diễn đàn XDA chỉ ra rằng biện pháp này sẽ loại toàn bộ thiết bị bật ADB hoặc đã mở khóa ra khỏi dịch vụ tài chính
  • Trong cộng đồng nhà phát triển và root, đây được xem là một phần của xu hướng siết chặt bảo mật trên toàn cầu, và họ đang thảo luận các phương án ứng phó

Quy định bảo mật mới của Ngân hàng Nhà nước Việt Nam

  • 77/2025/TT-NHNN là văn bản sửa đổi 50/2024/TT-NHNN, nêu rõ việc tăng cường bảo mật và an toàn cho dịch vụ tài chính trực tuyến
    • Khoản 2 Điều 5 sửa đổi Khoản 4 Điều 8, bắt buộc ứng dụng ngân hàng di động phải lập tức đóng và thông báo lý do nếu phát hiện thao tác trái phép
  • Các điều kiện bị chặn như sau
    • Kết nối debugger hoặc chạy emulator/máy ảo, bật ADB (Android Debug Bridge)
    • Tiêm mã bên ngoài (hook), giám sát lời gọi API, chỉnh sửa hoặc đóng gói lại ứng dụng
    • Trạng thái rooting hoặc jailbreak, mở khóa bootloader
  • Điều khoản này yêu cầu ứng dụng ngân hàng di động phải tự tích hợp chức năng phát hiện và chặn

Phản ứng của người dùng trên diễn đàn XDA

  • Một người dùng cho biết “ứng dụng ngân hàng đã bị cấm trên thiết bị bật ADB và mở khóa bootloader”, đồng thời nhắc rằng quy định đã có hiệu lực từ ngày 1/3
  • Người dùng khác nhận xét “đây là điều đáng buồn nhưng không bất ngờ”, đánh giá rằng xu hướng siết chặt quy định bảo mật đang diễn ra trên toàn thế giới
  • Một số người nói “chúng tôi sẽ tìm cách vượt qua” để thể hiện ý định đối phó, trong khi người khác nói “tôi định dùng một thiết bị riêng chỉ cho ngân hàng

Bối cảnh kỹ thuật và thảo luận trong cộng đồng

  • Chủ đề này ban đầu là nơi thảo luận về Magisk, Play Integrity và né phát hiện root, nơi chia sẻ các thử nghiệm kỹ thuật như
    né phát hiện root, giả mạo fingerprint, ngăn đánh cắp keybox
  • Quy định mới của Việt Nam được chú ý như một trường hợp xung đột trực tiếp với các nỗ lực né phát hiện root này
  • Một số nhà phát triển đã chia sẻ cách khắc phục như khởi tạo lại cache bằng lệnh ADB và kiểm tra thiết lập spoofing, nhưng
    sau khi quy định mới có hiệu lực, có khả năng bản thân ứng dụng ngân hàng sẽ không thể chạy được

Thảo luận bổ sung trong cộng đồng

  • Người dùng diễn giải biện pháp này là lệnh chặn toàn diện với môi trường ADB, root và mở khóa
  • Một số ý kiến lo ngại rằng “chính phủ đang hạn chế quyền kiểm soát của người dùng dưới danh nghĩa bảo mật
  • Ngược lại, những người khác cho rằng “siết chặt bảo mật là xu hướng không thể tránh khỏi”, và đưa ra phương án thực tế là
    tách riêng thiết bị đã root với dịch vụ tài chính

Ý nghĩa và tác động lan tỏa

  • Biện pháp này được đánh giá là một trong những trường hợp đầu tiên cấm bằng pháp lý ở cấp quốc gia việc truy cập tài chính từ thiết bị đã root
  • Nó có thể ảnh hưởng tới bảo mật di động, cộng đồng root và ngành fintech
  • Trên diễn đàn XDA, điều này được xem là một giai đoạn mới trong “trò chơi mèo vờn chuột không hồi kết giữa root và bảo mật

Bài viết liên quan

1 bình luận

 
GN⁺ 2026-01-10
Ý kiến trên Hacker News

  • Tôi cho rằng tội lỗi lớn nhất là khiến bạn sở hữu máy tính nhưng không thể có quyền root
    Giờ đây chúng ta đang sống trong thời đại mà chỉ vì muốn tự quyết phần mềm nào sẽ chạy trên thiết bị của mình mà con người cũng có thể bị gạt ra khỏi xã hội

    • Có lẽ cuối cùng ai cũng sẽ phải có ít nhất một điện thoại thông minh bị khóa để dùng dịch vụ của chính phủ hay ngân hàng
      Đây không phải vì sự tiện lợi của người dùng, mà là “đại diện” của chính phủ và ngân hàng để họ giao tiếp với chúng ta
    • Rốt cuộc đây là cuộc chiến mà chúng ta đang dần mất đi quyền tự sửa chữa hoặc kiểm soát những món đồ mình đã bỏ tiền ra mua
    • Chính ý tưởng cho rằng chính phủ nên có quyền như vậy đã là một suy nghĩ điên rồ
      Dù họ có muốn đi nữa thì về mặt kỹ thuật cũng không nên có năng lực như thế
    • Việc cưỡng ép tước đoạt quyền tự chủ của con người theo đúng nghĩa đen là cái ác
      Nhà tù vật lý và nhà tù số khác nhau, nhưng cả hai đều là hành vi giam cầm con người nên đều có thể gọi là ác
    • Cũng thú vị khi lại có thêm một chính phủ đang làm tăng mức độ phụ thuộc vào các Big Tech của Mỹ
      Tôi không biết Việt Nam còn bao nhiêu dư địa để nói về chủ quyền số, nhưng biện pháp này dường như đang đi theo hướng ngược lại

  • Chúng ta đang dần bước vào một cấu trúc mà nếu thiết bị của tôi không thể chứng minh với máy chủ từ xa rằng nó đang chạy phần mềm đã ký và chưa bị chỉnh sửa, thì tôi sẽ bị loại khỏi hoạt động kinh tế
    Mô hình bảo mật này tự nó có lý, nhưng thế giới đang coi người dùng như kẻ thù của chính phần cứng mình sở hữu

    • Tôi đã thỏa hiệp bằng cách dùng hai điện thoại
      Một chiếc là iPhone SE bị khóa cho xác thực và ngân hàng, chiếc còn lại là Pixel 9a cài Graphene OS để dùng hằng ngày
      Đắt nhưng là giải pháp thực tế
    • Cory Doctorow đã dự báo tình huống này từ năm 2011 — The Coming War on General Purpose Computation
    • Thực ra mô hình bảo mật kiểu này không hoạt động hoàn hảo
      Mã độc hiện đại có thể chỉ chạy trong bộ nhớ mà không để lại dấu vết trong không gian root
      Cuối cùng việc cấm root gần với mục tiêu kiểm soát hơn là bảo mật thực chất
    • Tôi không dùng ứng dụng ngân hàng trên điện thoại
      Thay vào đó tôi xác thực trên PC bằng hardware token. Tôi thấy cách này bớt phiền hơn nhiều và an toàn hơn
    • ROM cũ đã ký thì vẫn được cho qua dù có nhiều lỗ hổng, còn Lineage OS hay Graphene OS mới nhất lại bị từ chối. Tôi nghi ngờ đây có thực sự là bảo mật đúng nghĩa hay không

  • Hồi còn làm trong đội xác thực của Vanguard, tôi từng chặn kết nối từ Việt Nam
    Vì có quá nhiều nỗ lực gian lận, còn các khách hàng giàu có thì thường vượt qua bằng VPN
    Các công ty tài chính lúc nào cũng đang chiến đấu với gian lận theo cách như vậy

    • Tôi tò mò không biết trên thực tế gian lận từ thiết bị đã root xảy ra nhiều đến mức nào
      Phần lớn có thể chỉ là yêu cầu bảo mật kiểu đánh dấu checkbox, chứ chưa chắc là mối đe dọa thực tế
    • Tôi cũng từng chặn toàn bộ IP từ châu Á khi vận hành máy chủ cá nhân trước đây
      Vì có quá nhiều quét cổng và nỗ lực tấn công. Dù có thể vượt qua bằng VPN, nó vẫn phát huy tác dụng vì làm tăng chi phí
    • Khi đăng ký Yubikey cho Vanguard vào năm 2019, tôi thực sự thấy đó là một bước đột phá
      Các ngân hàng khác cũng có kiểu chỉ đăng nhập được khi bật VPN

  • Phần lớn ngân hàng vẫn cho phép truy cập website trên PC dù có quyền root

    • Nhưng dạo này xu hướng đang chuyển sang đăng nhập chỉ qua ứng dụng
      Một ngân hàng của tôi chỉ cho đăng nhập bằng mã QR, và thiết bị đã root thì bị chặn
      Hiện vẫn còn có thể lách ở phía client, nhưng khi Play Integrity API được áp dụng hoàn toàn thì sẽ không thể vượt qua nếu không có lỗ hổng phần cứng
    • Cuối cùng có lẽ cả truy cập web cũng sẽ biến mất
      Giống như HMRC của Anh, mọi thủ tục rồi sẽ chỉ làm được qua ứng dụng
    • Ở Thái Lan, chuyển khoản trên 50.000 baht thì nhận diện khuôn mặt là bắt buộc
      Vì thế đa số đã từ bỏ internet banking và chỉ nhận xác thực qua ứng dụng di động
      Tôi hy vọng sẽ có các ngân hàng dựa trên API mới xuất hiện, nhưng hiện tại chỉ các nhóm ngân hàng hiện hữu mới lấy được giấy phép
    • Hungary cũng tương tự. Trên thiết bị không chính thức thì chỉ có thể dùng 2FA qua app hoặc SMS
      Tôi vẫn thấy ngạc nhiên vì người ta còn xem SMS là an toàn

  • Tôi không hiểu vì sao chính phủ lại quan tâm đến điện thoại đã root đến mức này
    Những người làm kỹ thuật root máy phần lớn đều biết rõ rủi ro mà

    • Cốt lõi không phải là thiết bị có root hay không, mà là ai kiểm soát hệ điều hành
      Với những kẻ muốn tập trung hóa quyền lực, đó là sức mạnh cực lớn
    • Ở góc độ ngân hàng, điều này có thể giảm chi phí bảo mật và giảm thiệt hại cho khách hàng
    • Việt Nam đang thúc đẩy xác thực danh tính dựa trên sinh trắc học thông qua dự án VNeID
      Lãnh đạo hiện nay là Tô Lâm, từng xuất thân từ KGB, nên tôi tuyệt đối không mang thiết bị cá nhân theo khi đến Việt Nam
      Trang chính thức của VNeID, bài viết về đăng ký SIM
    • Xây dựng niềm tin với các ngân hàng nước ngoài cũng là một lý do
      Để không bị từ chối giao dịch chỉ vì “Việt Nam có quá nhiều gian lận”

  • Có vẻ đây là một phần trong chính sách liên kết tài khoản dựa trên sinh trắc học của chính phủ Việt Nam và Thái Lan
    Việt Nam yêu cầu tất cả tài khoản phải liên kết với dữ liệu sinh trắc học trước ngày 19 tháng 12 năm 2025
    Bài liên quan 1, bài 2

    • Nhưng vấn đề SIM swapping sẽ được giải quyết nếu bỏ xác thực SMS
      Đây không phải chuyện có thể giải quyết bằng cách chặn điện thoại đã root
    • Chính sách này cũng gắn với dự án VNeID
      Mục tiêu là đến năm 2030 sẽ cấp ID sinh trắc học số cho toàn bộ công dân và người nước ngoài đến thăm, rồi liên thông mọi dịch vụ
      VNeID, bài viết về kế hoạch 2030

  • Trước đây tôi từng rất hứng thú với việc root, nhưng giờ là người dùng iPhone nên tôi hiểu cả hai phía
    Những người root máy nhìn chung khá thành thạo kỹ thuật và có ý thức bảo mật tốt,
    nhưng ngân hàng có thể bị phạt rất nặng nếu vi phạm quy định nên chặn hàng loạt có thể là lựa chọn hợp lý
    Android hiện đại cũng bị khóa gần ngang iOS, còn tối ưu phần cứng thì tôi lại thấy iOS làm tốt hơn
    Vì vậy trước mắt tôi sẽ vẫn ở lại với hệ sinh thái iOS

  • Việc chặn điện thoại đã root không phải để bảo vệ người dùng mà là để siết DRM
    Nếu không có quyền root thì ứng dụng mặc nhiên có DRM, còn người dùng thậm chí không thể truy cập dữ liệu hay sao lưu
    Câu “chúng tôi bảo vệ bạn vì an ninh” cuối cùng chỉ là cái cớ cho kiểm soát người dùng
    Privilege separation là một khái niệm rất cũ, nhưng giờ chúng ta lại đang đi ngược lại

    • Tất nhiên cũng có thể xảy ra chuyện điện thoại của người không rành kỹ thuật bị root một cách lén lút
      Có lẽ vì thế mà ngân hàng xem toàn bộ điện thoại đã root là nhóm rủi ro
    • Nếu điện thoại đã root bị hack thì rốt cuộc khiếu nại vẫn đổ về chính phủ, nên họ lấy lý do phòng ngừa để chặn từ đầu
    • Nhìn vào cụm từ “phát hiện can thiệp trái phép vào ứng dụng ngân hàng di động”, có vẻ mục tiêu là bảo vệ chính ngân hàng nhiều hơn là bảo vệ khách hàng
    • Tin tặc cấp quốc gia cũng có thể lợi dụng điện thoại đã root, nên từ góc nhìn của ngân hàng thì tránh rủi ro là ưu tiên số một

  • Có vẻ có hai lý do cho biện pháp này

    1. Bất tài — kết quả của việc đưa vào một SDK không có hiệu quả bảo mật
    2. Kiểm soát giám sát — các quốc gia độc đoán như Việt Nam muốn kiểm soát hoàn toàn thiết bị của người dân
      Bề ngoài trông như “biện pháp vì an toàn”, nhưng thực chất là công cụ xây dựng hệ thống giám sát toàn diện

  • Có vô số lý do chính đáng để root máy
    Kéo dài tuổi thọ pin, chặn tracker, đổi mới giao diện người dùng đều có ích cho môi trường và cho tiến bộ công nghệ
    Nhưng các tập đoàn lớn như Apple, Google, Microsoft đang ngăn cản những đổi mới đó
    Kết quả là chúng ta đang dần đánh mất sự sáng tạo và tiến bộ