Động thái muộn màng của Google
Ít nhất 60 triệu người đã cài các ứng dụng có hành vi lén lút thu thập dữ liệu, và đến lúc này, Google mới ra tay gỡ bỏ.
Google đã gỡ bỏ nhiều ứng dụng khỏi Play Store do lén lút thu thập dữ liệu. Một số app bị xóa gồm ứng dụng cầu nguyện, ứng dụng phát hiện bẫy tốc độ trên đường cao tốc, quét mã QR…
Quy mô ảnh hưởng rất lớn
Theo WSJ, ít nhất 60 triệu người đã tải các ứng dụng này. Các app được phát hiện bởi 2 nhà nghiên cứu từ công ty phân tích ứng dụng AppCensus.
Đoạn mã thu thập dữ liệu do một công ty tại Panama có tên Measurement Systems phát triển, bán cho các lập trình viên để chèn vào ứng dụng dưới dạng SDK ( Software Development Kit). Nhờ đó, công ty này có thể thu thập dữ liệu trên thiết bị mà người dùng không hay biết.
Nhiều ứng dụng trên Play Store vừa bị gỡ do chứa SDK lén lút thu thập dữ liệu..
Video đang HOT
Serge Egelman, nhà nghiên cứu tại Viện Khoa học Máy tính Quốc tế và Đại học California, Berkeley (Mỹ) cho biết SDK viết bởi các công ty ít tên tuổ.i như Measurement Systems thường không được phát hiện hoặc theo dõi. Nhà phát triển có thể kiếm từ 100-10.000 USD khi chèn SDK của Measurement Systems vào app tùy lượng người dùng.
Cùng với Egelman, Joel Reardon, nhà nghiên cứu bảo mật của Đại học Calgary (Canada) đã gửi danh sách app độc hại cho Ủy ban Thương mại Liên bang Mỹ (FTC) và Google từ tháng 3, khiến chúng bị gỡ khỏi Play Store từ ngày 25/3. Tuy nhiên, FTC từ chối bình luận việc điều tra các app này.
Egelman và Reardon cho biết đây là SDK xâm phạm nhiều quyền riêng tư nhất mà họ từng phân tích. Về lý thuyết, các ứng dụng vẫn có thể gửi dữ liệu về Measurement Systems nếu được cài trên điện thoại dù không còn tồn tại trên Play Store. Tuy nhiên, 2 nhà phân tích ghi nhận SDK đã ngừng thu thập dữ liệu và ngắt kết nối sau khi bài nghiên cứu được đăng tải công khai.
Parfield, nhà phát triển của Al Moazin, một ứng dụng cầu nguyện tại Ai Cập nói rằng khi được mời gắn SDK vào app, Measurement Systems cho biết công ty thu thập dữ liệu thay mặt các nhà mạng, tập đoàn tài chính và năng lượng.
Họ muốn lấy dữ liệu từ người dùng tại khu vực Trung Đông, Trung Âu, Đông Âu và châu Á. Tuy nhiên theo WSJ, đó là yêu cầu bất thường bởi dữ liệu từ Mỹ và Tây Âu thường có giá trị cao hơn. Một số nhà phát triển còn phải ký các thỏa thuận không tiết lộ thông tin ra ngoài.
Người trong cuộc phủ nhận
SDK của Measurement Systems thu thập các dữ liệu như vị trí GPS, thông tin nhận dạng cá nhân như email và số điện thoại, dữ liệu máy tính và thiết bị di động lân cận. Việc thu thập dữ liệu khá phổ biến, nhưng không bao gồm email và số điện thoại bởi có thể vi phạm luật bảo mật thông tin.
SDK cũng có thể thu thập các thông tin trong clipboard khi tính năng cắt dán nội dung được sử dụng, cũng như quét một số file trong điện thoại.
Các ứng dụng gửi dữ liệu về công ty tại Panama có tên Measurement Systems.
Theo Reardon, việc thu thập các dữ liệu như GPS, mã nhận dạng cá nhân rất nguy hiểm bởi có thể giúp các công ty theo dõi vị trí người dùng bằng cách tra cứu email và số điện thoại. Tên miền web của Measurement Systems được đăng ký năm 2013 bởi Vostrom Holdings, doanh nghiệp có trụ sở tại Virginia, hợp tác với một số cơ quan tại Mỹ liên quan đến tình báo và an ninh mạng thông qua công ty con có tên Packet Forensics.
Trong email gửi đến WSJ, Measurement Systems phủ nhận mọi cáo buộc về hoạt động thu thập dữ liệu và mối quan hệ với các cơ quan an ninh tại Mỹ.
“Những cáo buộc từ bạn về hoạt động của công ty là sai sự thật. Ngoài ra, chúng tôi không biết gì về mối quan hệ giữa công ty với đối tác quốc phòng của Mỹ, cũng không biết về công ty có tên Vostrom. Chúng tôi cũng không có thông tin về Packet Forensics và mối liên quan của nó đến công ty của chúng tôi”, đại diện Measurement Systems cho biết.
Trước đây, Bộ Quốc phòng Mỹ thừa nhận mua lượng lớn dữ liệu có nguồn gốc để phân tích các mối đ.e dọ.a với an ninh quốc gia, nhưng không tiết lộ tên các công ty bán thông tin.
Ít nhất 60 triệu người cài ứng dụng Android thu thập dữ liệu trái phép
Theo Thời báo Phố Wall, các ứng dụng bị gỡ khỏi Google Play do chứa yếu tố bí mật khai thác dữ liệu người dùng.
Tác giả của đoạn code khai thác dữ liệu là Measurement Systems S. de R.L. Theo hồ sơ doanh nghiệp và đăng ký web, công ty này có liên quan tới một nhà thầu quốc phòng tại Virginia (Mỹ), chuyên về tình báo mạng, phòng thủ mạng và đán.h chặn tình báo.
Đoạn code chạy trên hàng triệu thiết bị Android và có mặt trong vài ứng dụng cầu nguyện với lượt tải hơn 10 triệu. Ngoài ra, nó còn nhúng trong các phần mềm như phát hiện máy bắ.n tốc độ trên cao tốc, đọc mã QR hay thời tiết. Tổng cộng, các ứng dụng đã được tải trên tối thiểu 60 triệu thiết bị. Hai nhà nghiên cứu Serge Egelman và Joel Reardon đã chia sẻ phát hiện với Google, nhà chức trách liên bang và Thời báo Phố Wall.
Measurement Systems trả tiề.n cho các nhà phát triển khắp thế giới để nhúng đoạn mã - hay SDK - vào ứng dụng của họ. Nó cho phép công ty bí mật thu thập dữ liệu người dùng. Theo ông Egelman, chèn SDK vào ứng dụng sẽ giúp nhà phát triển có thêm thu nhập cũng như dữ liệu chi tiết về người dùng của họ. Tài liệu của Thời báo Phố Wall cho thấy mỗi nhà phát triển có thể kiếm được từ 100 tới 10.000 USD mỗi tháng hoặc hơn, tùy thuộc vào số lượng người dùng hoạt động.
Hai chuyên gia nhận xét đây là SDK xâm phạm quyền riêng tư nhiều nhất họ từng ghi nhận trong 6 năm làm công việc phân tích ứng dụng di động, có thể xem là mã độc mà không cần do dự.
Người phát ngôn Google cho biết các ứng dụng chứa phần mềm của Measurement Systems đã bị xóa tính đến ngày 25/3. Chúng được quay trở lại nếu gỡ bỏ đoạn code theo dõi. Tuy nhiên, việc gỡ bỏ khỏi Google Play không ảnh hưởng gì đến khả năng thu thập từ hàng triệu điện thoại đã cài đặt chúng. Tuy nhiên, SDK đã ngừng thu thập dữ liệu người dùng sau khi hai chuyên gia bắt đầu công bố phát hiện.
Báo cáo chỉ ra đoạn code có khả năng xác định sự tồn tại của các thiết bị khác (cũng dùng ứng dụng chứa đoạn code) đang kết nối cùng mạng Wi-Fi, về cơ bản cung cấp một cách để lập bản đồ mạng lưới. Measurement Systems báo cho các nhà phát triển ứng dụng rằng họ muốn dữ liệu chủ yếu từ Trung Đông, Trung và Đông Âu, châu Á. Một số còn được yêu cầu ký thỏa thuận không tiết lộ.
SDK khai thác lượng lớn dữ liệu, bao gồm vị trí chính xác, định danh cá nhân (email, số điện thoại), dữ liệu về máy tính và điện thoại di động lân cận. Nó cũng có thể thu thập thông tin lưu trong clipboard điện thoại như mật khẩu mỗi khi người dùng sử dụng tính năng copy paste. Thậm chí, nó còn quét được một vài phần trong hệ thống tập tin thiết bị như các tập tin lưu trong thư mục tải xuống của WhatsApp.
Ứng dụng mã QR trong chăm sóc F0 tại nhà Trong bối cảnh dịch COVID-19 diễn biến phức tạp, các tỉnh, thành phố đồng loạt ra khuyến cáo, gửi hướng dẫn cách ly tại nhà cho người dân trên tài khoản Zalo chính thức. Sau Tết Nguyên đán, tình hình dịch COVID-19 tiếp tục có xu hướng phức tạp với số ca mắc tăng nhanh vượt qua các mốc cao nhất trước đó....