Phát hiện hàng ngàn ứng dụng Android theo dõi điện thoại cả khi không được phép

Android Q tới đây có lẽ sẽ khắc phục nhược điểm kém an toàn của hệ điều hành này.

Khi người dùng không cho phép một ứng dụng truy cập dữ liệu thông tin cá nhân, liệu có chắc rằng chúng sẽ tuân theo và không theo dõi người dùng? Theo trang công nghệ The Verge, mới đây, các nhà nghiên cứu phát hiện thấy hàng ngàn ứng dụng đã tìm ra cách gian lận hệ thống cấp phép của Android, truy cập vào thiết bị, lấy dữ liệu và tiết lộ vị trí của người dùng dù không được phép.

Nếu bạn đã lỡ phê duyệt quyền truy cập cho bất kỳ ứng dụng nào trước đó, có nhiều khả năng, nó sẽ chia sẻ dữ liệu có được cho những ứng dụng khác hoặc đặt những liệu ấy vào nơi mà những ứng dụng khác – kể cả những ứng dụng độc hại – cũng có thể đọc được.

Nhìn chung, giữa hai ứng dụng không có vẻ gì là liên quan đến nhau, nhưng theo các nhà nghiên cứu, do chúng được xây dựng bằng cùng một công cụ phát triển phần mềm (SDK) nên chúng có thể truy cập dữ liệu của nhau. Và có bằng chứng cho thấy chủ sử hữu SDK chính là đích đến của những dữ liệu thu thập được. Điều đó giống như việc một đứa trẻ đòi ăn tráng miệng nhưng bố mẹ nó không cho, vì vậy chúng đi xin từ "những phụ huynh khác".

Theo một nghiên cứu được công bố trong hội nghị PrivacyCon 2019, các nhà nghiên cứu đã mổ xẻ những ứng dụng từ Samsung và Disney với hàng trăm triệu lượt tải xuống. Những ứng dụng này sử dụng các bộ công cụ SDK do gã khổng lồ tìm kiếm Trung Quốc Baidu và công ty phân tích Salmonads phát triển có thể truyền dữ liệu sang nhau. Nhóm nghiên cứu nhận thấy một số ứng dụng sử dụng Baidu SDK có thể đang cố gắng âm thầm ăn cắp những dữ liệu người dùng.

Ngoài một số lỗ hổng quan trọng mà nhóm nghiên cứu tìm được, dữ liệu từ địa chỉ MAC của chip wifi và bộ định tuyến, hay điểm truy cập không dây, SSID,... rất có thể đã bị lấy cắp. Serge Egelman, giám đốc nghiên cứu an ninh của Viện khoa học máy tính quốc tế (ICSI), đã trình bày kết quả nghiên cứu trên tại hội nghị về bảo mật PrivacyCon.

Viện nghiên cứu đã chỉ ra ứng dụng Shutterfly, một ứng dụng chỉnh sửa hình ảnh với cơ chế thu thập dữ liệu bằng siêu dữ liệu EXIF từ ảnh, đã gửi tọa độ GPS của người dùng về máy chủ của nó mà không có sự cho phép theo dõi vị trí từ người dùng. Trong một tuyên bố với Cnet, công ty đã phủ nhận việc họ thu thập dữ liệu mà không được sự cho phép của người dùng.

Nhóm nghiên cứu cho biết họ đã gửi cảnh báo lỗi trên cho Google từ tháng 9 năm ngoái nên sẽ có những bản vá sửa những lỗi này trên Android Q. Tuy nhiên, sẽ có rất nhiều điện thoại Android không được cập nhật lên Android Q. Tính đến tháng 5, chỉ mới có 10,4% thiết bị Android được cài đặt lên Android P mới nhất, và hơn 60% còn lại vẫn đang phải chạy trên hệ điều hành cũ, thậm chí là Android N ra mắt cách đây gần 3 năm vẫn còn được sử dụng.

Các nhà nghiên cứu cho rằng Google nên làm việc nhiều hơn để có thể tung ra các bản vá bảo mật sắp tới bởi không chỉ những người mua điện thoại mới mới nên được bảo vệ. "Google tuyên bố công khai rằng quyền riêng tư không phải là một món hàng xa xỉ, nhưng dường như điều đó đang diễn ra", ông Egelman nói.

Google từ chối bình luận về những lỗ hổng kể trên, nhưng họ đã xác nhận rằng Android Q sẽ ẩn thông tin định vị khỏi các ứng dụng ảnh theo mặc định và nó sẽ yêu cầu các ứng dụng hình ảnh thông báo lên cho Play Store xem có khả năng truy cập siêu dữ liệu vị trí hay không.

Ngô Hiếu