Điện thoại thông minh có chứa nhiều
dữ liệu nhạy cảm, nên ứng dụng trên điện thoại liên tục tìm cách thu thập
các dữ liệu này từ người dùng. Mô hình đảm bảo an toàn của các hệ điều
hành di động hiện đại như Android và iOS chủ yếu dựa trên hệ thống cấp quyền, từ
đó xác định rõ một ứng dụng có thể có quyền truy cập vào những dịch vụ,
tính năng của thiết bị hoặc thông tin nào của người dùng.
Tuy nhiên, phát hiện mới của nhóm
các nhà nghiên cứu thuộc Viện Khoa học Máy tính Quốc tế (California) đã tiết lộ
rằng, các nhà phát triển ứng dụng di động đang sử dụng kỹ thuật ẩn mình để thu
thập dữ liệu của người dùng ngay cả sau khi người dùng đã từ chối cấp quyền
truy cập những dữ liệu này.
Trong bài phát biểu tại hội thảo
PrivacyCon do Ủy ban Thương mại Liên bang (Federal Trade Commission) Mỹ tổ chức
gần đây, các nhà nghiên cứu đã trình bày những phát hiện của họ và nhấn mạnh rằng,
hơn 1.300 ứng dụng Android đang thu thập dữ liệu định vị địa lý và mã nhận dạng
điện thoại của người dùng ngay cả khi người dùng đã từ chối cấp quyền truy
cập.
“Các ứng dụng có thể phá vỡ mô
hình cấp quyền và giành quyền truy cập vào dữ liệu được bảo vệ mà không cần
sự đồng ý của người dùng, bằng cách sử dụng cả kênh bí mật và kênh kề”, các nhà
nghiên cứu cho biết. Các kênh này hoạt động bằng một cách khác để truy cập
vào tài nguyên được bảo vệ mà cơ chế bảo mật không kiểm soát.
Các nhà nghiên cứu đã xem xét hơn
88.000 ứng dụng từ cửa hàng Google Play, trong đó 1.325 ứng dụng đã bị phát
hiện vi phạm hệ thống cấp quyền trong hệ điều hành Android vì sử dụng các
kỹ thuật ngầm, cho phép tìm kiếm dữ liệu cá nhân của người dùng từ các nguồn
như siêu dữ liệu lưu trữ trong thư mục ảnh và kết nối Wifi. Cụ thể:
Thu thập dữ liệu vị trí
Các nhà nghiên cứu đã tìm thấy một
ứng dụng chỉnh sửa ảnh có tên Shutterfly. Ứng dụng này thu thập dữ liệu vị trí
của thiết bị bằng cách trích xuất tọa độ GPS từ siêu dữ liệu của ảnh dưới dạng
kênh kề, ngay cả khi người dùng từ chối cấp quyền cho ứng dụng truy cập dữ liệu
vị trí. Các nhà nghiên cứu đã quan sát thấy ứng dụng Shutterfly gửi dữ liệu
định vị địa lý chính xác đến máy chủ của nó (apcmobile.thislife.com) mà không cần
quyền truy cập dữ liệu vị trí.
Hơn nữa, cần lưu ý rằng nếu một ứng
dụng có thể truy cập vị trí của người dùng, thì tất cả các dịch vụ của bên thứ
ba được nhúng trong ứng dụng đó cũng có thể truy cập dữ liệu này.
Mã nhận dạng điện thoại
Bên cạnh đó, các nhà nghiên cứu
đã tìm thấy 13 ứng dụng khác với hơn 17 triệu lượt cài đặt đã truy cập vào số
nhận dạng điện thoại IMEI, được lưu trữ trên thẻ SD của điện thoại bởi các ứng
dụng khác.
Hệ điều hành Android bảo vệ quyền
truy cập vào số IMEI của điện thoại với quyền READ_PHONE_STATE. Các nhà nghiên
cứu đã phát hiện được 02 dịch vụ trực tuyến của bên thứ ba đã sử dụng các kênh
bí mật khác nhau để truy cập vào số IMEI, trong khi ứng dụng đó không được cấp
quyền truy cập vào số này.
Theo các nhà nghiên cứu, các thư
viện bên thứ ba được cung cấp bởi 02 công ty Trung Quốc là Baidu và Salmonads
cũng đang sử dụng kỹ thuật này như một kênh bí mật để thu thập dữ liệu mà họ
không được phép truy cập.
Địa chỉ MAC của Wifi
Nhiều ứng dụng có chức năng điều
khiển từ xa thông minh bị phát hiện sử dụng địa chỉ MAC của điểm truy cập
Wifi để tìm ra vị trí của người dùng. Về bản chất, các ứng dụng này hoạt động
không cần thông tin vị trí, nhưng lại âm thầm thu thập dữ liệu vị trí của người
dùng.
Bằng cách truy cập địa chỉ MAC của
các trạm phát Wifi từ bộ đệm ARP, dữ liệu này có thể được sử dụng để thay thế
cho dữ liệu vị trí. Ngoài ra, việc biết địa chỉ MAC của bộ định tuyến cho phép có
thể liên kết đến các thiết bị khác nhau có cùng một điểm truy cập Internet. Điều
này có thể tiết lộ những thông tin nhạy cảm liên hệ đến chủ sở hữu của thiết bị
hoặc cho phép theo dõi chéo các thiết bị trong cùng mạng lưới.
Các nhà nghiên cứu đã kiểm tra
các ứng dụng này trên phiên bản Android Marshmallow và Android Pie. Họ đã báo
cáo phát hiện của mình cho Google vào tháng 9/2018. Google đã trả cho nhóm một
khoản tiền thưởng, nhưng bản vá sẽ chỉ được phát hành cùng với cập nhật Android
Q sau đó. Bản cập nhật Android Q sẽ giải quyết các lỗ hổng này bằng cách ẩn dữ
liệu vị trí trong ảnh, tránh khỏi các ứng dụng của bên thứ ba, cũng như buộc
các ứng dụng truy cập Wifi phải có quyền truy cập dữ liệu vị trí.
Cho đến lúc đó, người dùng được
khuyến nghị không nên tin tưởng các ứng dụng của bên thứ ba và tắt cài đặt cấp
quyền truy cập vị trí và ID cho các ứng dụng không thực sự cần chúng để hoạt động.
Ngoài ra, cần gỡ cài đặt các ứng dụng mà người dùng không thường xuyên sử dụng.