Thông thường khi bạn download và cài đặt xong một ứng dụng Android về máy, ở lần khởi động đầu tiên, ứng dụng sẽ để nghị bạn cấp một số quyền truy cập nhất định trên điện thoại, tùy thuộc vào mục đích của ứng dụng đó. Trong nhiều trường hợp, bạn không muốn ứng dụng can thiệp quá sâu vào dữ liệu riêng tư của mình, chẳng hạn như quyền truy cập vào thông tin vị trí, tin nhắn, hoặc danh bạ… bạn từ chối cấp quyền và đinh ninh rằng ứng dụng đó hoàn toàn “vô hại”, nhưng thực tế lại không phải như vậy.

Từ chối cấp quyền cho ứng dụngTừ chối cấp quyền cho ứng dụng

Theo một thống kê mới thực hiện gần đây, các nhà nghiên cứu đã nhận thấy rằng có hàng ngàn ứng dụng sở hữu phương thức gian lận hệ thống cấp phép Android vô cùng tinh vi, có thể theo dõi thiết bị ngay cả khi bạn đã chối cấp quyền truy cập. Trong đó, loại dữ liệu bị xâm phạm nhiều nhất vẫn là thông tin về vị trí. Thậm chí một vài trong số các ứng dụng này hoàn toàn có thể âm thầm thu thập đủ lượng dữ liệu giúp tiết lộ chính xác vị trí của bạn theo thời gian thực.

Như vậy, cho dù bạn có từ chối cấp toàn bộ quyền truy cập cho ứng dụng, điều này có thể vẫn là chưa đủ để “vô hiệu hóa” hoàn toàn ứng dụng đó. Vấn đề nằm ở chỗ một ứng dụng khác mà bạn đã cấp quyền truy cập có thể chia sẻ lượng dữ liệu mà chúng đã tiếp cận được với ứng dụng kia (trường hợp này hiếm khi xảy ra, và thường chỉ xuất hiện đối với những ứng dụng thuộc cùng một nhà phát triển/phát hành). Trường hợp thứ 2 phổ biến hơn, đó là thông tin đã thu thập được để lại trong bộ nhớ chia sẻ tự do, nơi một ứng dụng khác – không loại trừ cả các ứng dụng độc hại – có thể tiếp cận được.

Dữ liệu vị trí vẫn là yếu tố được "săn đón" hàng đầuDữ liệu vị trí vẫn là yếu tố được “săn đón” hàng đầu

Về trường hợp của 2 ứng dụng có vẻ không liên quan nhưng vẫn có thể chia sẻ được dữ liệu qua lại với nhau, các nhà nghiên cứu bảo mật đã tìm hiểu và đi đến kết luận: Hầu hết những ứng dụng như vậy đều được xây dựng thông qua cùng một bộ công cụ phát triển phần mềm (SDK), nên chúng có thể cùng truy cập được vào dữ liệu đó, và đồng thời cũng có bằng chứng về việc các chủ sở hữu SDK nhận được dữ liệu mà ứng dụng gửi về. Có thể liên tưởng tình huống này giống như khi một đứa trẻ đòi đi ăn kem, người mẹ lo bé bị viêm họng và nói “không”, trong khi người bố lại không nghĩ đó là vấn đề nghiêm trọng và đồng ý.

Theo một nghiên cứu đã từng được trình bày tại hội nghị bảo mật PrivacyCon 2019, các nhà nghiên cứu bảo mật đã nói về việc nhiều ứng dụng đến từ một vài thương hiệu lớn như Samsung và Disney (đã được tải xuống hàng trăm triệu lần), có chứa hành vi tự động tiếp cận và chia sẻ dữ liệu nêu trên.

Có một điểm tương đồng khá quan trọng, đó là các ứng dụng này thường sử dụng SDK được phát triển bởi gã khổng lồ tìm kiếm Trung Quốc Baidu, và một công ty phân tích thị trường khác có tên Salmonads. Đặc điểm này khiến chúng có thể “âm thầm” truyền dữ liệu của người dùng từ ứng dụng này sang ứng dụng khác (và đến cả máy chủ dịch vụ) bằng cách lưu trữ cục bộ dữ liệu thu được trong chính bộ nhớ điện thoại.

Các ứng dụng sử dụng chung SDK có thể chia sẻ dữ liệu thu thập được cho nhauCác ứng dụng sử dụng chung SDK có thể chia sẻ dữ liệu thu thập được cho nhau

Các nhà nghiên cứu bảo mật cũng nhận thấy rằng một số ứng dụng phát triển trên SDK của Baidu còn có thể cố gắng lấy lượng dữ liệu này để sử dụng cho nhiều mục đích phức tạp khác.

Bên cạnh đó, nhóm nghiên cứu cũng đã tìm thấy sự xuất hiện của một số lỗ hổng kênh bên (side channel). Một vài trong số này có thể gửi về máy chủ của chúng những thông tin rất đáng lưu ý như địa chỉ MAC duy nhất của chip mạng và router, thông tin về điểm truy cập không dây, SSID, và nhiều dữ liệu khác.

Theo tìm hiểu của giáo sư Serge Egelman, giám đốc tổ chức Usable Security and Privacy Group trực thuộc Viện khoa học máy tính quốc tế (ICSI), một trong những chuyên gia bảo mật đầu ngành hiện nay thì không phải ngẫu nhiên ứng dụng lại thu thập thông tin về địa chỉ MAC hay SSID… Đây đều được biết đến là những dữ liệu có thể thay thế cho dữ liệu vị trí – loại dữ liệu mà người dùng ngày càng quan tâm hơn, khó có thể thu thập dễ dàng như trước. Như vậy mục đích cuối cùng vẫn là nhằm xác định chính xác vị trí của người dùng.

Cũng có một vài phương thức thu thập dữ liệu khác thậm chí còn tinh vi hơn đã được ghi nhận, có thể kể đến như trường hợp của Shutterfly. Nghiên cứu đã chỉ ra rằng ứng dụng ảnh này có thể để gửi tọa độ GPS thực tế mà nó thu thập được về máy chủ của mình ngay cả khi không được cấp quyền theo dõi vị trí bằng cách thu thập thông tin cần thiết từ chính siêu dữ liệu EXIF – loại dữ liệu được đính kèm trong những ảnh mà bạn tải lên Shutterfly. Mặc dù phía Shutterfly đã lên tiếng đính chính rằng họ hoàn toàn không thu thập những dữ liệu không được phép, tuy nhiên sự việc trên cũng đã khiến uy tín của ứng dụng này sụt giảm mạnh.

BÌNH LUẬN

Please enter your comment!
Please enter your name here