Hơn 17.000 ứng dụng Android tự thu thập dữ liệu trái phép

Một nghiên cứu mới gần đây cho thấy hiện có hơn 17.000 ứng dụng Android thu thập trái phép dữ liệu người dùng bất chấp quy định của Google.

Theo chính sách của Google, các nhà phát triển ứng dụng chỉ được dùng số Advertising ID để thu thập một phần nhỏ thông tin cá nhân, nhằm định hướng những quảng cáo phù hợp với người dùng. Tuy nhiên, họ lại liên kết Advertising ID với các thông tin nhận dạng khác như địa chỉ MAC, số IMEI, và Android ID để lấy thêm dữ liệu cá nhân.

Theo một nghiên cứu gần đây của Viện Khoa học Máy tính Quốc tế thì có đến 17.000 ứng dụng hiện đang tự ý thực hiện điều này mà chưa được cho phép.

Địa chỉ MAC là thông tin điện thoại dùng để kết nối vào các thiết bị mạng như router Wi-Fi. IMEI là mã nhận dạng của một sản phẩm cụ thể. Cả hai thông tin đều có thể được sử dụng để ngăn điện thoại bị đánh cắp, truy xuất vào mạng di động và người dùng không thể reset được.

Android ID là một thông tin nhận dạng khác, cũng riêng biệt với mỗi thiết bị khác nhau, có thể reset, nhưng chỉ khi khôi phục cài đặt gốc. Nếu các ứng dụng gửi bất kỳ thông tin nào kể trên đến những dịch vụ quảng cáo, thì dù reset Advertising ID bao nhiêu lần đi nữa, hệ thống vẫn nhận diện được thiết bị của bạn.

Hầu hết những công ty lập trình đều biết Google có quy định không được sử dụng Advertising ID để kết nối và truy xuất các thông tin nhận dạng trên, kiểm soát thiết bị khi chưa được phép nhưng vẫn cố tình làm lơ, thậm chí không đếm xỉa gì đến quyết định của người dùng, ngang nhiên thu thập thông tin để trục lợi.

Theo Serge Egelman, người dẫn đầu nhóm nghiên cứu, một khi ứng dụng thu thập được thông tin nhận dạng thì người dùng hoàn toàn không còn quyền riêng tư nữa. Những dữ liệu trên sẽ được tạo thành một bản ghi chép dạng số, trong đó có chi tiết tất cả mọi hoạt động của người dùng trên thiết bị, từ đó lựa chọn hiển thị quảng cáo hiệu quả hơn. Ngay cả khi reset Advertising ID thì thông tin vẫn sẽ được lưu lại.

Google luôn khuyến cáo các nhà phát triển chỉ nên sử dụng duy nhất Advertising ID để phù hợp với quy chuẩn quyền riêng tư. Tuy nhiên, nhiều công ty ứng dụng và website luôn tìm cách lách luật. Năm 2011, Adobe từng bị buộc phải giải quyết cookies của Flash sau khi bị than phiền là nhiều phần nhỏ của phần mềm vẫn tồn tại trong trình duyệt web dù người dùng đã xóa sạch cookies.

Năm 2014, Verizon và AT&T lâm vào tình trạng tương tự khi sử dụng “supercookies” theo dõi người dùng mà không thể xóa được. Năm 2012 Microsoft từng kiện Google phá hoại tiêu chuẩn quyền riêng tư trang web P3p, cho phép người dùng trình duyệt Internet Explorer thiết lập các tùy chọn liên quan cookies.

Rõ ràng là dữ liệu thu thập bởi các nhà phát triển phải được kiểm tra kỹ lưỡng hơn. Tháng 1 vừa qua, Facebook và Google đều bị phát hiện lợi dụng chứng chỉ Doanh nghiệp để phân phối các ứng dụng thu thập dữ liệu khách hàng, bất tuân những quy tắc quyền riêng tư của Apple.

Scandal Cambridge Analytica của Facebook và năm 2018 và hàng loạt bê bối dữ liệu xoay quanh các vấn đề riêng tư khiến người dùng e ngại. Trong bối cảnh hiện nay, những nhà phân phối cần dò xét kỹ hơn cách ứng dụng thu thập và sử dụng dữ liệu.

Nhóm của Egelman vừa phát hiện ra khoảng 6.000 ứng dụng trẻ em thu thập dữ liệu trái phép, trong đó có một số chương trình phổ biến như Angry Birds Classic, Audiobook của Audible cũng như Flipboard.  Clean Master, Battery Doctor, Cheetah Keyboard và tất cả những chương trình được phát triển bởi Cheetah Mobile cũng bị phát hiện bán thông tin của người dùng cho dịch vụ quảng cáo.

Những ứng dụng này đều đã được cài đặt trên ít nhất 100 triệu thiết bị. Riêng Clean Master, một tiện ích gồm trình antivirus và dịch vụ tối ưu hóa, được cài đặt trên 1 tỷ máy.

Google đang làm gì

Google đang điều tra bản báo cáo của Egelman và đã xóa vĩnh viễn một số ứng dụng. Hãng từ chối cung cấp chích xác số phần mềm đã bị xử lý, cách thức xử lý và cũng không nói rõ nhà phát triển đã vi phạm những quy định nào. Google cho biết chính sách của công ty cho phép thu thập thông tin nhận dạng phần cứng và Android ID để hỗ trợ phát hiện lừa đảo chứ không phục vụ cho mục đích trục lợi như định hướng quảng cáo.

Sandy Bilus, một luật sư của Saul Ewing Arnstein & Lehr, chuyên về quyền riêng tư và an ninh mạng, cho biết các ứng dụng có thể đã vi phạm Quy định Bảo vệ Dữ liệu Phổ quát (GDPR), một đạo luật của Liên minh châu Âu (EU) đòi hỏi các công ty lập trình phải cho người dùng biết mình sẽ bị thu thập những dữ liệu gì.

Lorrie Faith Cranor, Giám đốc Phòng Thí nghiệm Bảo mật và Quyền riêng tư CyLab tại Đại học Carnegie Mellon cho biết Google có toàn quyền loại bỏ những ứng dụng đang vi phạm chính sách của công ty. Nhưng hãng lại trả lời chỉ có thể buộc những nhà phát triển thực hiện đúng quy định khi những ứng dụng này gửi thông tin nhận dạng đến mạng lưới quảng cáo của riêng Google. Trường hợp các ứng dụng gửi dữ liệu đến mạng lưới bên ngoài, Google không thể giám sát được.

Theo: CNET