Theo báo cáo mới đây của Appthority, một công ty tư vấn an toàn thông tin cho biết: hầu hết các ứng dụng di động phổ biến nhất trên iOS và Android đều thu thập dữ liệu cá nhân của người dùng như vị trí, sổ danh bạ, thông tin xếp lịch (calendar).
Báo cáo này đưa ra thông tin quan trọng đáng mừng: Appthority tìm thấy rất ít ứng dụng có chứa mã độc. Appthority nói rằng, họ có cơ sở dữ liệu của khoảng 2 triệu ứng dụng di động, trong đó phân tích 400 ứng dụng phổ biến nhất có thể tải về từ kho Google Play và Apple Store. Đối với các ứng dụng miễn phí, dường như không có khác biệt đáng kể giữa 2 nền tảng này. Điều đáng ngạc nhiên là ứng dụng iOS trả tiền thu thập nhiều thông tin hơn và chia sẻ cho bên thứ ba hơn là các ứng dụng Android trả tiền. Điều này khiến cho iOS trở nên có nguy cơ mất thông tin cá nhân nhiều hơn Android. Tính tổng cộng thì các ứng dụng miễn phí vẫn có nguy cơ cao hơn trên cả 2 nền tảng. Sau đây là chi tiết các loại dữ liệu thường bị thu thập:
- 82% số ứng dụng Android miễn phí hàng đầu và 49% số ứng dụng Android trả tiền hàng đầu theo dõi vị trí người dùng
- 50% số ứng dụng iOS miễn phí hàng đầu và 24% số ứng dụng iOS trả tiền hàng đầu theo dõi vị trí người dùng
Bạn có thể không tưởng tượng được những ứng dụng điều khiển đèn flash hay bàn tính (calculator) lại theo dõi vị trí nhưng thực tế thì có khá nhiều ứng dụng làm điều này.
Theo Appthority, một trong những lý do chính khiến cho các lập trình viên ứng dụng khởi tạo chức năng theo dõi vị trí là để tạo ra doanh thu bằng cách chia sẻ dữ liệu người dùng cho các mạng quảng cáo và các công ty phân tích dữ liệu. Trong một số trường hợp, đặc biệt là các ứng dụng miễn phí, các lập trình viên được trả tiền dựa trên lượng dữ liệu họ thu thập được và chia sẻ về người dùng.
- 30% số ứng dụng Android miễn phí hàng đầu và 14% số ứng dụng Android trả tiền hàng đầu truy cập vào sổ danh bạ người dùng
- 26% số ứng dụng iOS miễn phí hàng đầu và 8% số ứng dụng iOS trả tiền hàng đầu truy cập vào sổ danh bạ của người dùng.
Các lập trình viên ứng dụng thường gửi đi các địa chỉ liên hệ của người dùng hoặc thậm chí toàn bộ sổ danh bạ. Đó cũng là một trong các lý do khiến cho các ứng dụng có thể lan truyền nhanh hoặc tạo ra được hiệu ứng mạng. Nói cách khác, các lập trình viên muốn sử dụng địa chỉ liên lạc của người dùng để mở rộng mạng lưới khách hàng của họ.
- 88% số ứng dụng Android miễn phí hàng đầu và 65% số ứng dụng Android trả tiền hàng đầu truy cập vào số IMEI/UDID
- 57% số ứng dụng iOS miễn phí hàng đầu và 28% số ứng dụng iOS trả tiền hàng đầu truy cập vào số IMEI/UDID
IMEI và UDID là những dãy số duy nhất nhúng trong mỗi điện thoại di động. Appthority giải thích về rủi ro kèm theo việc bị lộ số IMEI/UDID như sau: UDID là số định danh duy nhất của thiết bị nên lập trình viên có thể phát hiện sự tương quan về hành vi của người dùng trong nhiều ứng dụng khác nhau (thậm chí cả khi người dùng sử dụng tên và mật khẩu khác nhau cho mỗi ứng dụng) và sau đó tìm ra được người dùng thực duy nhất. Trong khi Apple cấm lập trình viên iOS sử dụng UDID làm phương tiện theo dõi và định danh người dùng thì Appthority phát hiện ra quy định này chỉ áp dụng cho các thiết bị di động chạy phiên bản mới nhất của hệ điều hành iOS.
(Theo cio.com)