Từ ngày 1/3, điện thoại “bẻ khóa” sẽ không thể truy cập ứng dụng ngân hàng
Từ ngày 1/3, các thiết bị di động từng bị can thiệp hệ thống như root, jailbreak hoặc mở khóa bootloader sẽ không thể sử dụng ứng dụng ngân hàng. Quy định được nêu tại Thông tư số 77/2025/TT-NHNN của Ngân hàng Nhà nước, sửa đổi, bổ sung một số điều của Thông tư 50/2024/TT-NHNN về an toàn, bảo mật trong cung ứng dịch vụ trực tuyến ngành ngân hàng
Theo quy định mới, các tổ chức tín dụng, tổ chức cung ứng dịch vụ trung gian thanh toán và dịch vụ Tiền di động (Mobile Money) phải triển khai giải pháp phát hiện và ngăn chặn hành vi can thiệp trái phép vào ứng dụng Mobile Banking cài đặt trên thiết bị của khách hàng.
Ứng dụng ngân hàng sẽ tự động thoát hoặc dừng hoạt động và thông báo lý do nếu phát hiện thiết bị đang ở môi trường có rủi ro cao như có trình gỡ lỗi (debugger) hoạt động, đang chạy trên môi trường giả lập hoặc máy ảo, hoặc đang bật chế độ cho phép máy tính giao tiếp trực tiếp với thiết bị Android thông qua Android Debug Bridge (ADB). Đây vốn là các công cụ phục vụ kỹ thuật phát triển phần mềm nhưng có thể bị lợi dụng để kiểm soát thiết bị và thu thập dữ liệu trái phép.
Bên cạnh đó, ứng dụng cũng sẽ không thể vận hành nếu phát hiện bị chèn mã theo dõi, ghi lại dữ liệu truyền qua các hàm, API hoặc bị đóng gói lại, chỉnh sửa mã nguồn (repacking). Những hành vi này tiềm ẩn nguy cơ đánh cắp thông tin đăng nhập, mã xác thực và dữ liệu giao dịch. Đặc biệt, các thiết bị đã bị root (đối với Android), jailbreak (đối với iOS) hoặc mở khóa bootloader đều thuộc diện không đủ điều kiện sử dụng Mobile Banking. Việc “bẻ khóa” cho phép người dùng can thiệp sâu vào hệ điều hành, đồng thời làm vô hiệu hóa các lớp bảo vệ cốt lõi, tạo điều kiện cho mã độc xâm nhập và chiếm đoạt thông tin tài chính.
Thực tế cho thấy, không phải mọi trường hợp thiết bị bị “bẻ khóa” đều xuất phát từ nhu cầu chủ động của người dùng. Trên thị trường hàng xách tay, đặc biệt với các dòng Android nội địa, một số máy không tích hợp tiếng Việt hoặc thiếu kho ứng dụng quốc tế, buộc cửa hàng phải root để cài đặt hệ điều hành khác.
Với một số iPhone khóa mạng, từng có thời điểm jailbreak được áp dụng để xử lý lỗi danh bạ, tin nhắn hoặc tương thích SIM. Tuy nhiên, các thiết bị đã bị can thiệp hệ thống thường không còn nhận đầy đủ bản vá bảo mật chính thức, trở thành mục tiêu dễ bị tấn công bởi virus và phần mềm gián điệp.
Khi lớp phòng vệ ban đầu bị vô hiệu hóa, kẻ gian có thể ghi lại thao tác màn hình, chiếm quyền điều khiển camera, giả lập xác thực sinh trắc học hoặc thực hiện giao dịch mà người dùng không hay biết. Trong bối cảnh thanh toán số phát triển mạnh, những điểm yếu này có thể dẫn đến thiệt hại tài chính đáng kể.
Không chỉ tập trung vào thiết bị đầu cuối, Thông tư 77/2025/TT-NHNN còn yêu cầu các giải pháp phát hiện giả mạo sinh trắc học (Presentation Attack Detection – PAD) phải đáp ứng tiêu chuẩn quốc tế ISO 30107 cấp độ 2 (Level 2) hoặc tương đương. Các tổ chức cung cấp giải pháp xác thực sinh trắc học phải được công nhận bởi các tổ chức uy tín quốc tế, nhằm bảo đảm khả năng ngăn chặn các hình thức tấn công Deepfake ngày càng tinh vi. Quy định này góp phần củng cố niềm tin vào các phương thức xác thực bằng khuôn mặt, vân tay trong giao dịch trực tuyến.
Để tránh gián đoạn giao dịch từ ngày 1/3, khách hàng cần chủ động kiểm tra tình trạng thiết bị, bảo đảm không còn root, jailbreak hoặc unlock bootloader. Đồng thời, người dùng nên cập nhật hệ điều hành và ứng dụng ngân hàng lên phiên bản mới nhất khi kích hoạt trên thiết bị mới hoặc cài đặt lại dịch vụ. Việc tuân thủ các tiêu chuẩn an toàn không chỉ giúp đáp ứng yêu cầu kỹ thuật của ngân hàng mà còn là biện pháp thiết thực bảo vệ tài sản cá nhân trong môi trường số ngày càng phức tạp.