Hơn 1.300 ứng dụng Android thu thập trái phép dữ liệu người dùng
Điện thoại thông minh có chứa nhiều dữ liệu nhạy cảm, nên ứng dụng trên điện thoại liên tục tìm cách thu thập các dữ liệu này từ người dùng. Mô hình đảm bảo an toàn của các hệ điều hành di động hiện đại như Android và iOS chủ yếu dựa trên hệ thống cấp quyền, từ đó xác định rõ một ứng dụng có thể có quyền truy cập vào những dịch vụ, tính năng của thiết bị hoặc thông tin nào của người dùng.
Tuy nhiên, phát hiện mới của nhóm các nhà nghiên cứu thuộc Viện Khoa học Máy tính Quốc tế (California) đã tiết lộ rằng, các nhà phát triển ứng dụng di động đang sử dụng kỹ thuật ẩn mình để thu thập dữ liệu của người dùng ngay cả sau khi người dùng đã từ chối cấp quyền truy cập những dữ liệu này.
Trong bài phát biểu tại hội thảo PrivacyCon do Ủy ban Thương mại Liên bang (Federal Trade Commission) Mỹ tổ chức gần đây, các nhà nghiên cứu đã trình bày những phát hiện của họ và nhấn mạnh rằng, hơn 1.300 ứng dụng Android đang thu thập dữ liệu định vị địa lý và mã nhận dạng điện thoại của người dùng ngay cả khi người dùng đã từ chối cấp quyền truy cập.
“Các ứng dụng có thể phá vỡ mô hình cấp quyền và giành quyền truy cập vào dữ liệu được bảo vệ mà không cần sự đồng ý của người dùng, bằng cách sử dụng cả kênh bí mật và kênh kề”, các nhà nghiên cứu cho biết. Các kênh này hoạt động bằng một cách khác để truy cập vào tài nguyên được bảo vệ mà cơ chế bảo mật không kiểm soát.
Các nhà nghiên cứu đã xem xét hơn 88.000 ứng dụng từ cửa hàng Google Play, trong đó 1.325 ứng dụng đã bị phát hiện vi phạm hệ thống cấp quyền trong hệ điều hành Android vì sử dụng các kỹ thuật ngầm, cho phép tìm kiếm dữ liệu cá nhân của người dùng từ các nguồn như siêu dữ liệu lưu trữ trong thư mục ảnh và kết nối Wifi. Cụ thể:
Thu thập dữ liệu vị trí
Các nhà nghiên cứu đã tìm thấy một ứng dụng chỉnh sửa ảnh có tên Shutterfly. Ứng dụng này thu thập dữ liệu vị trí của thiết bị bằng cách trích xuất tọa độ GPS từ siêu dữ liệu của ảnh dưới dạng kênh kề, ngay cả khi người dùng từ chối cấp quyền cho ứng dụng truy cập dữ liệu vị trí. Các nhà nghiên cứu đã quan sát thấy ứng dụng Shutterfly gửi dữ liệu định vị địa lý chính xác đến máy chủ của nó (apcmobile.thislife.com) mà không cần quyền truy cập dữ liệu vị trí.
Hơn nữa, cần lưu ý rằng nếu một ứng dụng có thể truy cập vị trí của người dùng, thì tất cả các dịch vụ của bên thứ ba được nhúng trong ứng dụng đó cũng có thể truy cập dữ liệu này.
Mã nhận dạng điện thoại
Bên cạnh đó, các nhà nghiên cứu đã tìm thấy 13 ứng dụng khác với hơn 17 triệu lượt cài đặt đã truy cập vào số nhận dạng điện thoại IMEI, được lưu trữ trên thẻ SD của điện thoại bởi các ứng dụng khác.
Hệ điều hành Android bảo vệ quyền truy cập vào số IMEI của điện thoại với quyền READ_PHONE_STATE. Các nhà nghiên cứu đã phát hiện được 02 dịch vụ trực tuyến của bên thứ ba đã sử dụng các kênh bí mật khác nhau để truy cập vào số IMEI, trong khi ứng dụng đó không được cấp quyền truy cập vào số này.
Theo các nhà nghiên cứu, các thư viện bên thứ ba được cung cấp bởi 02 công ty Trung Quốc là Baidu và Salmonads cũng đang sử dụng kỹ thuật này như một kênh bí mật để thu thập dữ liệu mà họ không được phép truy cập.
Địa chỉ MAC của Wifi
Nhiều ứng dụng có chức năng điều khiển từ xa thông minh bị phát hiện sử dụng địa chỉ MAC của điểm truy cập Wifi để tìm ra vị trí của người dùng. Về bản chất, các ứng dụng này hoạt động không cần thông tin vị trí, nhưng lại âm thầm thu thập dữ liệu vị trí của người dùng.
Bằng cách truy cập địa chỉ MAC của các trạm phát Wifi từ bộ đệm ARP, dữ liệu này có thể được sử dụng để thay thế cho dữ liệu vị trí. Ngoài ra, việc biết địa chỉ MAC của bộ định tuyến cho phép có thể liên kết đến các thiết bị khác nhau có cùng một điểm truy cập Internet. Điều này có thể tiết lộ những thông tin nhạy cảm liên hệ đến chủ sở hữu của thiết bị hoặc cho phép theo dõi chéo các thiết bị trong cùng mạng lưới.
Các nhà nghiên cứu đã kiểm tra các ứng dụng này trên phiên bản Android Marshmallow và Android Pie. Họ đã báo cáo phát hiện của mình cho Google vào tháng 9/2018. Google đã trả cho nhóm một khoản tiền thưởng, nhưng bản vá sẽ chỉ được phát hành cùng với cập nhật Android Q sau đó. Bản cập nhật Android Q sẽ giải quyết các lỗ hổng này bằng cách ẩn dữ liệu vị trí trong ảnh, tránh khỏi các ứng dụng của bên thứ ba, cũng như buộc các ứng dụng truy cập Wifi phải có quyền truy cập dữ liệu vị trí.
Cho đến lúc đó, người dùng được khuyến nghị không nên tin tưởng các ứng dụng của bên thứ ba và tắt cài đặt cấp quyền truy cập vị trí và ID cho các ứng dụng không thực sự cần chúng để hoạt động. Ngoài ra, cần gỡ cài đặt các ứng dụng mà người dùng không thường xuyên sử dụng.
Nguyễn Anh Tuấn
The Hacker News