Hơn 1.000 ứng dụng Android ngầm thu thập dữ liệu người dùng

Theo trang tin công nghệ Cnet, các nhà nghiên cứu đã phát hiện ra hơn 1.000 ứng dụng mặc dù bị người dùng từ chối cấp phép thu thập dữ liệu song chúng vẫn thu thập dữ liệu định vị địa lý chính xác và số nhận dạng điện thoại sau lưng người dùng.

Các nhà nghiên cứu từ Viện Khoa học Máy tính Quốc tế (ICSI) ở California (Mỹ) đã tìm thấy tới 1.325 ứng dụng Android đang thu thập dữ liệu từ các thiết bị ngay cả sau khi mọi người từ chối rõ ràng việc thu thập dữ liệu.

Phát hiện trên nêu bật mức độ khó khăn khi giữ riêng tư trực tuyến, đặc biệt nếu người dùng gắn liền với điện thoại và ứng dụng di động. Các công ty công nghệ có hàng núi dữ liệu cá nhân của hàng triệu người, bao gồm cả nơi họ đã đến, bạn bè và những gì họ quan tâm.

Các nhà nghiên cứu của ICSI đã thông báo cho Google về những vấn đề này vào tháng 9 năm ngoái, cũng như Ủy ban Thương mại Liên bang Mỹ (FTC). Google cho biết họ sẽ giải quyết các vấn đề trong phiên bản hệ điều hành Android Q, dự kiến sẽ phát hành trong năm nay.

Theo Google, bản cập nhật sẽ giải quyết vấn đề bằng cách ẩn thông tin vị trí trong các bức ảnh khỏi các ứng dụng và yêu cầu bất kỳ ứng dụng nào truy cập Wi-Fi cũng phải nhận được quyền cho phép của người dùng đối với dữ liệu vị trí.

Các nhà nghiên cứu đã xem xét hơn 88.000 ứng dụng từ cửa hàng Google Play, theo dõi cách dữ liệu được truyền từ ứng dụng khi chúng bị từ chối cấp phép. 1.325 ứng dụng vi phạm quyền trên Android đã sử dụng các cách giải quyết được ẩn trong mã nguồn của chúng để lấy dữ liệu cá nhân từ các nguồn như kết nối Wi-Fi và siêu dữ liệu được lưu trữ trong các bức ảnh.

Các nhà nghiên cứu phát hiện ra rằng Shutoston, một ứng dụng chỉnh sửa ảnh, đã thu thập tọa độ GPS từ các bức ảnh và gửi dữ liệu đó đến máy chủ của chính ứng dụng này, ngay cả khi người dùng từ chối cấp quyền cho ứng dụng truy cập dữ liệu vị trí.

Một số ứng dụng dựa vào các ứng dụng khác được cấp quyền xem dữ liệu cá nhân, không cho phép truy cập để thu thập số nhận dạng điện thoại như số IMEI.

Các ứng dụng này sẽ đọc qua các tệp không được bảo vệ trên thẻ SD của thiết bị và thu thập dữ liệu mà chúng không được phép truy cập. Vì vậy, nếu người dùng để các ứng dụng khác truy cập dữ liệu cá nhân và chúng lưu trữ những dữ liệu trong một thư mục trên thẻ SD, các ứng dụng gián điệp này sẽ có thể lấy những thông tin đó.

Các ứng dụng khác đang thu thập dữ liệu vị trí bằng cách kết nối với mạng Wi-Fi của người dùng và tìm ra địa chỉ MAC của bộ định tuyến. Các nhà nghiên cứu đã tìm thấy điều này trên các ứng dụng có chức năng như điều khiển từ xa thông minh, không cần thông tin vị trí của người dùng để hoạt động.

ICSI dự định sẽ tiết lộ chi tiết danh sách 1.325 ứng dụng mà các nhà nghiên cứu phát hiện ra tại hội nghị Usenix Security vào tháng 8 tới.

"Về cơ bản, người dùng có rất ít công cụ và dấu hiệu để có thể nhận biết và kiểm soát quyền riêng tư hay đưa ra quyết định về nó", Serge Egelman, giám đốc ICSI nói. "Nếu các nhà phát triển ứng dụng có thể phá vỡ cơ chế bảo mật của hệ thống thì việc xin phép quyền truy cập của người dùng trở nên vô nghĩa".

Egelman cho biết nhóm nghiên cứu đã thông báo cho Google và Ủy ban Thương mại Liên bang Mỹ (FTC) về vấn đề này từ tháng 9/2018. Google cho biết sẽ giải quyết hạn chế trên trong Android Q, bản phần mềm mới có thể được tung ra trong năm nay. Danh sách chi tiết 1.325 ứng dụng mà ICSI phát hiện sẽ được công bố trong tháng 8.

Ngoài Shutoston, ứng dụng Hong Kong Disneyland park do Baidu phát triển hay phần mềm Health và Browser của Samsung cũng được cho là thu thập dữ liệu ngay cả khi người dùng không cho phép. Baidu, Disney và Samsung không đưa ra bình luận.

Minh Anh (tổng hợp)