Bạn có tin rằng ngay cả khi đã tắt GPS, Google vẫn biết bạn đang ở đâu? Một báo cáo gây sốc từ Cybernews vừa tiết lộ rằng gã khổng lồ công nghệ này có thể đang thu thập dữ liệu vị trí của người dùng cứ sau 15 phút, bất kể họ đã vô hiệu hóa GPS hay chưa.
Cybernews đã tiến hành một thử nghiệm trên chiếc điện thoại Google Pixel 9 Pro XL mới tinh, sử dụng tài khoản Google mới và giữ nguyên các thiết lập mặc định - giống như cách mà hầu hết chúng ta đều làm. Bằng cách "root" thiết bị để có quyền truy cập sâu vào hệ thống, nhóm nghiên cứu đã phát hiện ra một sự thật đáng lo ngại.
Theo thông tin đăng tải, kết quả sau khi truy cập sau vào hệ thống có thể thấy, cứ sau 15 phút, điện thoại lại gửi dữ liệu vị trí, email, số điện thoại, trạng thái mạng và một số dữ liệu khác về Google. Dữ liệu này được chuyển đến nhiều hệ thống khác nhau của công ty, bao gồm Device Management (quản lý thiết bị), Policy Enforcement (thực thi chính sách) và Face Grouping (phân nhóm khuôn mặt trên Google Photos).
Điều đáng nói, ngay cả khi tắt GPS, điện thoại vẫn theo dõi vị trí của người dùng. Lúc này, thiết bị sẽ sử dụng các mạng WiFi gần đó để ước lượng vị trí thay vì dựa vào tín hiệu GPS.
Đối với nhiều người vị trí của họ là loại dữ liệu nhạy cảm nhất, bởi nó có thể tiết lộ hàng loạt các chi tiết rất riêng tư về cuộc sống hàng ngày từ những nơi bạn tới hay các hoạt động bạn tham gia. Nếu như kẻ gian vô tình có được các thông tin trên sẽ dễ dàng tấn công nạn nhân.
Google đã từng có những bước tiến tích cực trong việc bảo vệ quyền riêng tư của người dùng, như quyết định dừng việc thu thập dữ liệu dòng thời gian từ Google Maps và chỉ giữ lại dữ liệu trên thiết bị. Tuy nhiên, báo cáo từ Cybernews cho thấy, ngay cả với những biện pháp này, việc thu thập dữ liệu vị trí vẫn đang diễn ra mà người dùng không thể dễ dàng kiểm soát.
Ngoài việc thu thập dữ liệu vị trí, Cybernews còn phát hiện ra rằng thiết bị định kỳ liên hệ với Google để yêu cầu mã mới cho các tính năng và dịch vụ. Việc tải và thực thi mã mới này có thể mở ra các lỗ hổng bảo mật, bởi nếu mã này bị khai thác bởi kẻ xấu, người dùng có thể bị xâm nhập và dữ liệu cá nhân có thể bị đánh cắp.
Trong khi chưa có bằng chứng cụ thể về việc mã này bị bên thứ ba tấn công, nhóm nghiên cứu Cybernews cảnh báo rằng việc thiết bị tự động nhận và thực thi mã mà không có sự đồng ý từ người dùng vẫn là một rủi ro tiềm ẩn. Điều này càng đáng lo ngại hơn khi chúng ta không biết chính xác mục đích của những mã này và cách chúng hoạt động.
Cybernews còn chỉ ra một hiện tượng khác liên quan đến ứng dụng Google Photos. Mặc dù nhóm nghiên cứu không hề mở ứng dụng Photos hay chụp ảnh, thiết bị vẫn tự động liên hệ với hệ thống Face Grouping (phân nhóm khuôn mặt) của Google Photos.
Tương tự như vậy, nhiều luồng dữ liệu khác từ thiết bị vẫn tiếp tục được gửi đi mà không có sự can thiệp từ người dùng. Cybernews cho rằng đây là dấu hiệu của sự thiếu minh bạch và người dùng có quyền được biết rõ hơn về những gì đang diễn ra với dữ liệu của họ.
Cybernews đã tiến hành một thử nghiệm trên chiếc điện thoại Google Pixel 9 Pro XL mới tinh, sử dụng tài khoản Google mới và giữ nguyên các thiết lập mặc định - giống như cách mà hầu hết chúng ta đều làm. Bằng cách "root" thiết bị để có quyền truy cập sâu vào hệ thống, nhóm nghiên cứu đã phát hiện ra một sự thật đáng lo ngại.
Theo thông tin đăng tải, kết quả sau khi truy cập sau vào hệ thống có thể thấy, cứ sau 15 phút, điện thoại lại gửi dữ liệu vị trí, email, số điện thoại, trạng thái mạng và một số dữ liệu khác về Google. Dữ liệu này được chuyển đến nhiều hệ thống khác nhau của công ty, bao gồm Device Management (quản lý thiết bị), Policy Enforcement (thực thi chính sách) và Face Grouping (phân nhóm khuôn mặt trên Google Photos).
Điều đáng nói, ngay cả khi tắt GPS, điện thoại vẫn theo dõi vị trí của người dùng. Lúc này, thiết bị sẽ sử dụng các mạng WiFi gần đó để ước lượng vị trí thay vì dựa vào tín hiệu GPS.
Đối với nhiều người vị trí của họ là loại dữ liệu nhạy cảm nhất, bởi nó có thể tiết lộ hàng loạt các chi tiết rất riêng tư về cuộc sống hàng ngày từ những nơi bạn tới hay các hoạt động bạn tham gia. Nếu như kẻ gian vô tình có được các thông tin trên sẽ dễ dàng tấn công nạn nhân.
Google đã từng có những bước tiến tích cực trong việc bảo vệ quyền riêng tư của người dùng, như quyết định dừng việc thu thập dữ liệu dòng thời gian từ Google Maps và chỉ giữ lại dữ liệu trên thiết bị. Tuy nhiên, báo cáo từ Cybernews cho thấy, ngay cả với những biện pháp này, việc thu thập dữ liệu vị trí vẫn đang diễn ra mà người dùng không thể dễ dàng kiểm soát.
Ngoài việc thu thập dữ liệu vị trí, Cybernews còn phát hiện ra rằng thiết bị định kỳ liên hệ với Google để yêu cầu mã mới cho các tính năng và dịch vụ. Việc tải và thực thi mã mới này có thể mở ra các lỗ hổng bảo mật, bởi nếu mã này bị khai thác bởi kẻ xấu, người dùng có thể bị xâm nhập và dữ liệu cá nhân có thể bị đánh cắp.
Trong khi chưa có bằng chứng cụ thể về việc mã này bị bên thứ ba tấn công, nhóm nghiên cứu Cybernews cảnh báo rằng việc thiết bị tự động nhận và thực thi mã mà không có sự đồng ý từ người dùng vẫn là một rủi ro tiềm ẩn. Điều này càng đáng lo ngại hơn khi chúng ta không biết chính xác mục đích của những mã này và cách chúng hoạt động.
Cybernews còn chỉ ra một hiện tượng khác liên quan đến ứng dụng Google Photos. Mặc dù nhóm nghiên cứu không hề mở ứng dụng Photos hay chụp ảnh, thiết bị vẫn tự động liên hệ với hệ thống Face Grouping (phân nhóm khuôn mặt) của Google Photos.
Tương tự như vậy, nhiều luồng dữ liệu khác từ thiết bị vẫn tiếp tục được gửi đi mà không có sự can thiệp từ người dùng. Cybernews cho rằng đây là dấu hiệu của sự thiếu minh bạch và người dùng có quyền được biết rõ hơn về những gì đang diễn ra với dữ liệu của họ.
