Hơn 1.300 ứng dụng Android ngầm thu thập dữ liệu người dùng trái phép

Các nhà nghiên cứu từ Viện Khoa học máy tính Quốc tế (ICSI, Mỹ) đã xem xét 88.000 ứng dụng Android, bắt đầu từ lúc người dùng từ chối cấp quyền truy cập và phát hiện đến 1.325 phần mềm đang âm thầm thu thập dữ liệu từ thiết bị ngay cả khi không được phép.

“Cấp quyền ứng dụng” trên Android nhằm giúp người dùng chủ động giữ an toàn dữ liệu cá nhân trên thiết bị của mình. Ví dụ, nếu không muốn phần mềm đèn pin có thể xem nhật ký cuộc gọi trên điện thoại, bạn có quyền từ chối cấp phép cho ứng dụng này. Tuy nhiên, một nghiên cứu gần đây cho thấy, ngay cả khi chưa được cấp quyền, nhiều chương trình vẫn tìm cách thu thập dữ liệu vị trí và thông tin cá nhân khác mà người dùng không hay biết.

Phát hiện trên một lần nữa nhấn mạnh sự khó khăn trong việc giữ an toàn dữ liệu riêng tư trực tuyến. Nhiều công ty công nghệ có lượng thông tin khổng lồ của hàng triệu người dùng, gồm cả vị trí, bạn bè và những điều họ quan tâm.

Các nhà lập pháp đã đưa ra những quy định chặt chẽ hơn về bảo mật dữ liệu và cố gắng ngăn chặn nhà phát triển kiểm soát thông tin người dùng. Apple và Google cũng phát hành nhiều tính năng mới tập trung vào bảo mật hơn nhưng các ứng dụng vẫn tìm ra cách “lách luật” và tiếp tục thu thập dữ liệu trái phép.

“Về cơ bản, người dùng có rất ít công cụ kiểm soát quyên riêng tư của chính mình. Nếu các nhà phát triển ứng dụng có thể phá vỡ hệ thống bảo mật thì việc xin phép được truy cập vào dữ liệu người dùng là vô nghĩa”,  Serge Egelman – Giám đốc Nghiên cứu bảo mật và Quyền riêng tư của ICSI cho biết.

Google đã được thông báo về vấn đề này từ tháng 9 năm ngoái. “Gã khổng lồ công nghệ Mỹ” hứa sẽ giải quyết tình trạng này trong hệ điều hành Android Q mới, dự kiến phát hành trong năm nay. Các nhà nghiên cứu phát hiện ra rằng ứng dụng chỉnh sửa ảnh Shutoston đã thu thập tọa độ GPS từ hình ảnh và gửi về máy chủ, ngay cả khi người dùng từ chối cấp quyền truy cập dữ liệu vị trí.

Trong trường hợp người dùng cấp phép cho ứng dụng truy cập dữ liệu và những chương trình này lưu trữ thông tin trên thẻ nhớ thì vẫn có nguy cơ bị rò rỉ dữ liệu. Một số ứng dụng khác đã lợi dụng lỗ hổng, đánh cắp thông tin trên thẻ nhớ thiết bị. Theo thống kê, có 13 phần mềm đã thực hiện hành vi này – với hơn 17 triệu lượt tải về. Ngoài ra các nhà nghiên cứu đã tìm thấy 153 ứng dụng có khả năng thực hiện hành vi trên, trong đó có cả Health and Browser của Samsung, được cài đặt trên hơn 500 triệu thiết bị. Hãng công nghệ Hàn Quốc hiện chưa trả lời vấn đề này.

Nhiều phần mềm khác thu thập dữ liệu bằng cách kết nối với mạng Wi-Fi và tìm địa chỉ MAC của bộ định tuyến trên các ứng dụng có chức năng điều khiển từ xa. Egelman cho biết ông sẽ tiết lộ chi tiết với danh sách 1.325 ứng dụng Android vi phạm tại hội nghị Usenix Security vào tháng 8 tới.

Theo Cnet