Hơn 1,000 ứng dụng Android “lừa đảo” lấy thông tin cá nhân người sử dụng

Các nhà nghiên cứu vừa phát hiện ra hơn 1,000 ứng dụng Android có khả năng chia sẻ và nhận thông tin cá nhân, thậm chí ngay cả khi người sử dụng đã dứt khoát ngăn cấm việc thu thập thông tin này.

Các bằng chứng đã được công bố cho những người tham dự xem tại PrivacyCon 2019 ở Mỹ và các bằng chứng này không chỉ tập trung vào các ứng dụng mập mờ. Thực tế là các công ty nổi tiếng bao gồm Disney và Samsung cũng phát hành các ứng dụng “lờ đi” quyền riêng tư mà người dùng mong đợi.

Tất cả các ứng dụng bị ảnh hưởng đều có một điểm – đó là chúng đều chạy trên cùng một bộ cung cụ phát triển phần mềm (SDK). SDK được thực hiện bởi gã khổng lồ công nghệ Trung Quốc Baidu, với sự giúp đỡ từ công ty phân tích Salmonads.

SDK là tập hợp các công cụ được cung cấp cho các nhà phát triển để tạo ra các ứng dụng một cách dễ dàng hơn – giống như là khung xương cho dự án thay vì phải mã hóa tất cả từ đầu. Giống như việc VW Polos, Audi S3s và Ford Focus đều chế tạo xe bằng một trục bánh xe giống nhau, thì chúng vẫn khác nhau nhưng có chung một khung xương sống.

Hãy tưởng tượng có hai ứng dụng: Ứng dụng 1 và ứng dụng 2. Cả hai đều được tạo ra bởi cùng một bộ Baidu SDK. Người sử dụng thu hồi lại quyền cho phép Ứng dụng 1 thu thập thông tin cá nhân nhưng không thu hồi quyền cho phép Ứng dụng 2 thu thập thông tin. Vì thế, Ứng dụng 1 vẫn có thể thu thập thông tin cá nhân người dùng qua các thông tin Ứng dụng 2 thu thập được vì cả hai ứng dụng đều được tạo ra bởi SDK.

Về các thông tin đã thu thập được, đó là một phần của túi hỗn hợp. Địa chỉ MAC của thiết bị là dạng thông tin được thu thập nhiều nhất, nhưng địa chỉ MAC của bộ định tuyến và số IMEI của thiết bị cũng được thu thập. Trong một trường hợp cụ thể, dữ liệu GPS cũng được thu thập.

Ứng dụng thu thập dữ liệu GPS được gọi là Shutterfly và đã được download hơn 138,000 lần trên kho ứng dụng Google Play tại thời điểm xuất bản. Ứng dụng này thu thập dữ liệu GPS bằng siêu dữ liệu EXIF từ hình ảnh của người dùng và gửi lại cho máy chủ của nó mà không cho phép định vị địa điểm máy chủ.

“Mặc dù thiết bị này có thể không được dùng để phá vỡ hệ thống cho phép, nhưng kĩ thuật này có thể trở nên “độc hại” khi một người có chủ tâm dùng nó để truy cập vào vị trí của người dùng” – theo nghiên cứu. “Bất cứ khi nào người dùng chụp một bức ảnh mới với hệ thống định vị được bật, bất cứ ứng dụng nào có quyền đọc thư viện ảnh đều có thể biết được chính xác vị trí người dùng chụp bức ảnh mới trên”.

“Hơn nữa, kĩ thuật này cũng cho phép thu thập các bản sửa lỗi định vị lịch sử với dấu thời gian của người dùng, và sau này nhờ đó có thể tìm ra được các thông tin nhạy cảm về người dùng” – nghiên cứu nói thêm.

Liên quan đến các ứng dụng có được thông tin địa chỉ MAC, các nhà nghiên cứu nói rằng Android thường bảo vệ thiết bị truy cập và địa chỉ MAC của bộ định tuyến bằng các quyền riêng biệt. Dù thế nào, họ cũng vẫn quan sát các ứng dụng truy cập vào các địa chỉ dù không được quyền.

Các ứng dụng có được quyền truy cập vào các địa chỉ với các kênh bên, sử dụng mã gốc C để gọi một số trong hệ thống các cuộc gọi UNIX không được bảo vệ. Các phương pháp này được coi là “lừa đảo” và có thể đánh lừa ngay cả những người dùng thông thạo nhất.

Ủy ban Thương mại Liên bang Hoa Kỳ (FTC) đã phạt các nhà khai thác di động và bên thứ ba vì khai thác các kênh bên và sử dụng địa chỉ MAC để tìm ra vị trí của người dùng.

Các nhà nghiên cứu cho biết rằng với phiên bản tiếp theo của hệ điều hành di động Android Q hiện đang trong giai đoạn thử nghiệm, một vài vấn đề được nêu ra trong các bằng chứng của họ sẽ được khắc phục. Nhưng điều đó có thể vẫn chưa đủ.

Các bản cập nhật Android OS là không bắt buộc và nhiều người sử dụng, theo thống kê, là không cập nhật lên phiên bản mới nhất. Ví dụ như chỉ có 10.4% người sử dụng Android là đang sử dụng phiên bản Android 9 Pie.