Hơn 700 triệu smartphone Android đã gửi dữ liệu gì đến Trung Quốc?

Bạn sẽ thực sự ngạc nhiên về những loại dữ liệu cá nhân đã bị thu thập và gửi về máy chủ ở Trung Quốc.

Bạn có sở hữu một chiếc Android không? Nếu có, bạn có thể là một trong số 700 triệu người dùng khác đang bị những chiếc điện thoại của mình bí mật gửi các tin nhắn văn bản tới Trung Quốc mỗi lần sau 72 giờ.

Chắc chắn là bạn đã không nhìn nhầm đâu. Hơn 700 triệu chiếc smartphone Android đều chứa một "backdoor" (cổng hậu) bí mật, để từ đó gửi tới Trung Quốc toàn bộ thông tin về bạn, bao gồm các tin nhắn văn bản, nhật ký cuộc gọi, danh bạ điện thoại, các vị trí của bạn và dữ liệu về ứng dụng, trong vòng 72 giờ mỗi lần.

Các nhà nghiên cứu bảo mật từ Kryptowire đã khám phá một cổng hậu ẩn giấu trong firmware của rất nhiều chiếc smartphone Android giá rẻ đang được bán tại Mỹ. Cổng hậu này đã âm thầm thu thập dữ liệu của người sở hữu điện thoại và gửi nó về một máy chủ ở Trung Quốc mà người dùng không hề hay biết.

Theo các báo cáo đầu tiên trên tờ New York Times vào thứ ba vừa qua, phần mềm backdoor trên firmware này được phát triển bởi công ty có trụ sở tại Trung Quốc, Shanghai AdUps Technology. Báo cáo cũng cho biết rằng, phần mềm này vẫn được cập nhật cho hơn 700 triệu thiết bị trên toàn thế giới.

Các smartphone Android trên toàn thế giới đều bị lây nhiễm

Hơn nữa, một điều đáng chú ý là công ty AdUps còn đang cung cấp phần mềm của mình đến những công ty sản xuất thiết bị cầm tay có quy mô lớn như ZTE.

Bên cạnh việc thu thập nội dung tin nhắn SMS, danh bạ điện thoại, nhật ký cuộc gọi, dữ liệu vị trí, các thông tin cá nhân người dùng khác và tự động gửi chúng về máy chủ AdUps mỗi lần sau 72 giờ, phần mềm của AdUps cũng có khả năng cài đặt từ xa và cập nhật ứng dụng trên smartphone.

Các nhà nghiên cứu cho rằng, cổng hậu bí mật này được cố tình đặt vào trong các điện thoại, thay vì chỉ là do vô tình hoặc xuất phát từ một lỗi bảo mật. Mặc dù vậy, theo các nhà chức trách Mỹ, đến thời điểm này, vẫn chưa rõ liệu các dữ liệu bị thu thập vì mục đích quảng cáo hay theo dõi của chính phủ.

Kryptowire cho biết, công ty đã khám phá ra cổng hậu này trên chiếc BLU R1 HD, vốn đang được bán bởi nhà sản xuất smartphone tại Florida, BLU Products. Ngoài ra, sản phẩm của công ty này cũng đang được bán trực tuyến đến các quốc gia khác ở Nam Phi, thông qua Amazon và Best Buy.

Một lượng lớn dữ liệu người dùng được gửi tới các máy chủ ở Trung Quốc

Dựa trên các câu lệnh tìm được, hãng bảo mật nhận ra rằng, phần mềm của công ty này thực thi rất nhiều hành vi khác nhau, ví dụ như:

- Thu thập và gửi các tin nhắn SMS đến máy chủ AdUps trong mỗi 72 giờ.

- Thu thập và gửi nhật ký cuộc gọi đến máy chủ AdUps trong mỗi 72 giờ.

- Thu thập và gửi thông tin định danh cá nhân (PII Personal Identifiable Information) của người dùng đến máy chủ AdUps trong mỗi 24 giờ.

- Thu thập và gửi đi các mã số định danh IMSI (International Mobile Subcriber Indentity: mã số định danh thuê bao quốc tế, được lưu vĩnh viễn trên SIM) và IMEI của smartphone.

- Thu thập và gửi đi thông tin dữ liệu vị trí.

- Thu thập và gửi đi danh sách các ứng dụng được cài đặt trên thiết bị người dùng.

- Tải xuống và cài đặt các ứng dụng mà không cần sự đồng ý của người dùng hoặc người dùng không hề hay biết.

- Cập nhật và xóa các ứng dụng.

- Cập nhật firmware của điện thoại và lập trình lại thiết bị.

- Thực thi các câu lệnh từ xa với quyền ưu tiên cao trên thiết bị của người dùng

Không, bạn không thể vô hiệu hóa hay loại bỏ cổng hậu đó

Thực vậy, cổng hậu này đã được khám phá trong hai ứng dụng hệ thống – com.adups.fota.sysoper com.adups.fota – những ứng dụng không thể bị loại bỏ hay vô hiệu hóa bởi người dùng.

Khi được hỏi về vấn đề này, BLU Products xác nhận rằng, có khoảng 120.000 smartphone của họ có cài đặt phần mềm của AdUps, nhưng nó đang bị loại bỏ khỏi thiết bị của công ty. Dưới đây là tuyên bố của họ về sự việc này.

"Gần đây, BLU Products đã xác định và nhanh chóng loại bỏ một vấn đề an ninh, gây ra bởi một ứng dụng bên thứ ba, vốn đang thu thập trái phép dữ liệu cá nhân dưới dạng các tin nhắn văn bản, nhật ký cuộc gọi và danh bạ từ một số lượng giới hạn thiết bị di động mà khách hàng mua của BLU.

Sự riêng tư và bảo mật của khách hàng có tầm quan trọng hàng đầu và được ưu tiên trên hết với chúng tôi. Kể từ khi tự cập nhật, chức năng của ứng dụng bị ảnh hưởng được xác nhận đã không còn thu thập hay gửi đi các thông tin này nữa".

Không chỉ thông báo cho BLU Products, Kryptowire còn cho Google, AdUps, cũng như Amazon, hãng độc quyền phân phối chiếc BLU R1 HD, biết về khám phá của mình.

Google sau đó cũng ra tuyên bố cho biết, công ty đang làm việc với tất cả các bên bị ảnh hưởng để phát hành bản vá cho vấn đề này, cho dù gã khổng lồ về công nghệ này cũng thừa nhận rằng, họ không biết làm thế nào AdUps có thể phát tán phần mềm của mình rộng rãi đến vậy.

Tuy nhiên, theo AdUps, phần mềm đặc trưng này của họ vốn không có dự định được trang bị cho những chiếc smartphone bán tại thị trường Mỹ, và nó chỉ được thiết kế để giúp các nhà sản xuất điện thoại Trung Quốc theo dõi hành vi người dùng tốt hơn.

Theo GenK/New York Times

Các tin khác
Trong khi Samsung đang tường thuật lễ ra mắt thì trang công nghệ The Verge đã đăng tải loạt ảnh chính thức của Galaxy Note8.
Cảnh sát Delhi trong khi tìm kiếm các từ khóa trên Google đã tìm thấy bài báo về việc bắt giữ Siddharth Mehrotra vào năm 2015. Việc bắt được hắn ta không phải là quá khó khăn sau đó.
Sự kết hợp của dung lượng pin rất lớn và chip xử lý Snapdragon 625 trên tiến trình 14nm tiết kiệm điện đã giúp cho chiếc smartphone mới ra mắt Xiaomi Mi Max 2 có được thời lượng pin rất ấn tượng.
Những vết thương như đứt tay, rách cơ... trên con người sẽ có thể tự lành theo thời gian. Nhưng nếu một con robot bị hỏng thì nó có thể tự lành được không?
Samsung Electronics đã quyết định không sử dụng pin của đối tác Trung Quốc lâu năm ATL trên Galaxy Note 8 vì sự cố thu hồi Galaxy Note7 vào năm ngoái, một nguồn tin công nghiệp cho biết vào ngày 21/8 vừa qua.
Sau một loạt các vụ tấn công mạng có tầm ảnh hưởng toàn cầu, quân đội Mỹ đang lên kế hoạch đáp trả lại những kẻ gây những vụ tấn công ấy một cách mạnh mẽ hơn.
HP vừa chính thức công bố loạt laptop Pavilion mới với 3 sản phẩm bao gồm phiên bản Pavilion phổ thông, Pavilion X360 và Pavilion Power. Cả ba sản phẩm này đều tích hợp sẵn loa B&O Play.
Mặc dù Thomas Edison thường được cho là người đã phát minh ra bóng đèn, nhưng nhà phát minh nổi tiếng người Mỹ không phải là người duy nhất đóng góp cho sự phát triển của công nghệ cách mạng này. Nhiều nhân vật đáng chú ý khác cũng được ghi nhớ cho công việc của họ với pin điện, bóng đèn và tạo ra các bóng đèn nóng sáng đầu tiên.
Vụ va chạm giữa tàu khu trục Mỹ USS John S. McCain được trang bị thiết bị tối tân và một tàu chở dầu ngoài khơi Singapore hôm thứ Hai khiến 10 thuỷ thủ mất tích đã buộc Hải quân Mỹ phải tạm dừng hoạt động để điều tra và tập trung vào an toàn.
Nếu chiếc smartphone Xperia của bạn bị hư hỏng bởi nước, bạn có thể nhận được một khoản tiền bồi thường tới từ Sony. Một phiên tòa được tổ chức tại New York (Mỹ) vào ngày 22/8 vừa qua đã chấp thuận cho một vụ kiện tập thể chống lại Sony vì tuyên bố quá lời về khả năng “chống nước” của các smartphone và tablet trong dòng Xperia.
 
Đọc nhiều nhất Phản hồi nhiều nhất
VnReview trên facebook
813.372 Thích
Website liên quan