Ứng dụng Baidu trên Google Play làm rò rỉ dữ liệu nhạy cảm

Tin tặc có thể sử dụng thông tin rò rỉ để theo dõi người dùng trên các thiết bị, vô hiệu hóa dịch vụ điện thoại hoặc chặn tin nhắn và cuộc gọi.
16:09 PM 26/11/2020 In bài viết này

Các nhà nghiên cứu đã phát hiện thấy nhiều ứng dụng di động Android trên Google Play, bao gồm Baidu Search Box và Baidu Maps làm rò rỉ dữ liệu. Chúng có thể được sử dụng để theo dõi người dùng - ngay cả khi họ đổi thiết bị khác.

Các ứng dụng này từng được tải xuống hàng triệu lần, theo các nhà nghiên cứu của Palo Alto Unit 42. Chúng đã bị xóa khỏi Google Play, nhưng bất kỳ ai đã cài đặt một trong các ứng dụng vi phạm này vẫn có nguy cơ gặp rủi ro.

Ứng dụng Baidu trong Google Play làm rò rỉ dữ liệu nhạy cảm - Ảnh 1.

Ứng dụng Baidu, bao gồm Baidu Search Box và Baidu Maps trong Google Play làm rò rỉ dữ liệu nhạy cảm.

Các nhà nghiên cứu nhận thấy, những ứng dụng được đề cập có thể tiết lộ một loạt thông tin, bao gồm: mẫu điện thoại; độ phân giải màn hình; địa chỉ MAC của điện thoại; nhà cung cấp dịch vụ không dây; mạng (Wi-Fi, 2G, 3G, 4G, 5G); ID Android; định danh thuê bao di động quốc tế (IMSI); và nhận dạng thiết bị di động quốc tế (IMEI).

Tội phạm mạng có thể sử dụng nhiều công cụ "đánh hơi" khác nhau - như công cụ bắt IMSI chủ động và thụ động - để "nghe lén" thông tin này từ người dùng điện thoại di động.

Các nhà nghiên cứu cho biết: "Mặc dù một số thông tin, như độ phân giải màn hình, khá vô hại, nhưng dữ liệu như IMSI có thể được sử dụng để xác định và theo dõi một người dùng, ngay cả khi người đó chuyển sang sử dụng điện thoại khác nhưng vẫn giữ số điện thoại cũ". 

IMEI là số nhận dạng duy nhất của thiết bị vật lý và biểu thị thông tin như ngày sản xuất và thông số kỹ thuật phần cứng. Trong khi đó, IMSI xác định duy nhất một người đăng ký sử dụng mạng di động và thường được liên kết với thẻ SIM của điện thoại, thẻ này có thể được chuyển giữa các thiết bị. Cả hai số nhận dạng đều có thể được sử dụng để theo dõi và định vị người dùng trong mạng di động.

Do đó, các ứng dụng Android thu thập dữ liệu như vậy có thể theo dõi người dùng trong suốt vòng đời của nhiều thiết bị, các nhà nghiên cứu cảnh báo.

Ví dụ, nếu người dùng chuyển thẻ SIM của họ sang điện thoại mới và cài đặt một ứng dụng đã thu thập và truyền số IMSI trước đó, nhà phát triển ứng dụng vẫn có thể tiếp tục xác định được các thông tin liên quan về người dùng này.

Theo Palo Alto Unit 42, ngoài việc theo dõi người dùng trên nhiều thiết bị, những kẻ tấn công có thể gây thêm các hậu quả, chẳng hạn, chúng có thể sử dụng số IMEI của điện thoại để báo cáo rằng đây là điện thoại bị đánh cắp, khiến nhà cung cấp dịch vụ chặn quyền truy cập vào mạng của thiết bị. Và những kẻ tấn công có thể lợi dụng thông tin bị rò rỉ để chặn các cuộc gọi điện thoại hoặc tin nhắn SMS.

Ứng dụng vi phạm

Các nhà nghiên cứu đã tìm thấy nhiều ứng dụng Android làm rò rỉ dữ liệu như vậy. Hai ứng dụng lớn nhất được phát hiện là Baidu Search Box và Baidu Maps (Baidu là một công ty Internet có trụ sở tại Trung Quốc). Google đã hành động và một phiên bản lành tính của Baidu Search Box đã có trên Google Play trên toàn cầu vào ngày 19/11, trong khi Baidu Maps vẫn chưa khả dụng.

Một ứng dụng vi phạm khác có trên Google Play ở Mỹ là Homestyler - ứng dụng trang trí nội thất mà các nhà nghiên cứu cho biết vẫn chưa bị gỡ xuống. Và các nhà nghiên cứu đã gắn cờ một SDK Android được gọi là ShareSDK, từ nhà cung cấp MobTech của Trung Quốc.

ShareSDK hỗ trợ hơn 40 nền tảng truyền thông xã hội, theo Unit 42. Nó giúp các nhà phát triển ứng dụng bên thứ ba dễ dàng truy cập đăng ký và chia sẻ mạng xã hội. Nó cũng cho phép họ thu thập thông tin của người dùng, danh sách bạn bè và các chức năng mạng xã hội khác. Hiện tại, ShareSDK đang cung cấp dịch vụ cho hơn 37.500 ứng dụng và nó đã trở thành nền tảng dịch vụ dành cho nhà phát triển lớn nhất Trung Quốc.

Các nhà nghiên cứu lưu ý rằng, rò rỉ dữ liệu từ các ứng dụng Android và SDK cho thấy sự vi phạm nghiêm trọng quyền riêng tư của người dùng, mặc dù các nhà phát triển thường không nhận ra rằng ứng dụng của họ đang gặp rủi ro.

Các nhà nghiên cứu giải thích: "Mặc dù không hoàn toàn vi phạm chính sách của Google đối với các ứng dụng Android, nhưng việc thu thập số nhận dạng, như IMSI hoặc địa chỉ MAC, không được khuyến khích dựa trên hướng dẫn thực hành tốt nhất của Android. Để ngăn rò rỉ dữ liệu, các nhà phát triển ứng dụng Android nên làm theo các hướng dẫn của Android và xử lý chính xác dữ liệu của người dùng. Người dùng Android nên được thông báo về các quyền cần thiết mà các ứng dụng yêu cầu trên thiết bị của họ".

Một báo cáo vào tháng 4/2019 cho thấy hàng triệu ứng dụng bị rò rỉ thông tin nhận dạng cá nhân (PII) như tên, tuổi, thu nhập, thậm chí có thể cả số điện thoại và địa chỉ email. Lỗi là do các nhà phát triển ứng dụng không bảo vệ dữ liệu quảng cáo được truyền đến các nhà quảng cáo bên thứ ba.

Usman Rahim, nhà phân tích mối đe dọa kỹ thuật số của The Media Trust, nói: "Các cửa hàng ứng dụng đã được phát hiện có các ứng dụng độc hại, cũng như các ứng dụng hợp pháp thu thập thông tin người dùng mà không có sự đồng ý của người dùng. Giống như các thiết bị IoT, các ứng dụng thường được phát triển mà không tính đến tính bảo mật và quyền riêng tư. Các ứng dụng miễn phí có quảng cáo đặc biệt rất dễ bị tấn công".

Hiền Thục (threatpost.com)
Xem thêm