Gần 350 ứng dụng theo dõi người dùng tương tự TikTok, Google biết nhưng vẫn ‘làm ngơ’

TikTok theo dõi người dùng Android trái phép

TikTok lợi dụng lỗ hổng bên trong hệ điều hành Android để thu thập địa chỉ Mac trái phép, theo dõi người dùng suốt 15 tháng.

Theo phát hiện của Wall Street Journal, TikTok đã ghi lại địa chỉ Mac của hàng triệu thiết bị Android trái phép ngay cả khi họ thay đổi cài đặt quyền riêng tư hoặc từ chối quyền truy cập. Điều ta của WSJ được thực hiện trên 9 phiên bản TikTok trên Play Store từ tháng 4/2018 đến tháng 1/2020.

TikTok đang nằm trong "tầm ngắm" của chính phủ Mỹ. Ảnh: WSJ.

Hành động thu thập địa chỉ Mac của các ứng dụng bị Google Play Store và Apple App Store cấm từ năm 2015. Tuy nhiên, TikTok vẫn âm thầm khai thác thông qua một lỗ hổng trên Android.

Trong bài phân tích, các chuyên gia cho biết việc thu thập dữ liệu được che giấu bằng "một lớp mã hóa bổ sung bất thường". TikTok đã lấy địa chỉ Mac mỗi lần ứng dụng được cài đặt và mở lần đầu, sau đó gửi về máy chủ ByteDance. Gói dữ liệu được gửi đi gồm ID quảng cáo của thiết bị và dãy 32 chữ số cho phép các nhà quảng cáo theo dõi hành vi người dùng.

Các chuyên gia của WSJ cũng thấy rằng TikTok đã thu thập địa chỉ Mac trong ít nhất 15 tháng. Hành động này chỉ được dừng lại sau bản cập nhật vào tháng 11/2019.

Ngoài địa chỉ Mac, TikTok không thu thập thông tin gì khác, ngoại trừ những dữ liệu đã công bố trên trang chính sách người dùng.

Phản hồi về vấn đề này, TikTok khẳng định "phiên bản hiện tại của TikTok không thu thập địa chỉ Mac". Tuy nhiên, hãng không đề cập đến các phiên bản cũ hơn. Hồi đầu năm, đại diện của mạng video ngắn còn cho biết ứng dụng của họ thu thập dữ liệu cá nhân ít hơn so với các công ty Mỹ như Facebook hay Google.

Địa chỉ Mac là dãy định dạng kỹ thuật số gồm 12 chữ số cố định trên các thiết bị kết nối Internet, trong đó có smartphone. Dãy số này được sử dụng phổ biến cho mục đích quảng cáo vì nó không thể đặt lại hoặc thay đổi, cho phép các nhà sản xuất ứng dụng và các công ty phân tích bên thứ ba tạo hồ sơ về hành vi của người dùng.

Theo quy định của Ủy ban Thương mại Liên bang Mỹ (FTC), địa chỉ Mac được coi là thông tin nhận dạng cá nhân theo Đạo luật Bảo vệ Quyền riêng tư Trực tuyến của Trẻ em. Trong khi đó, chuyên gia của Nhà Trắng cảnh báo dữ liệu do TikTok lấy được có thể bị chính phủ Trung Quốc thu thập, sau đó sử dụng để xây dựng hồ sơ chi tiết về các cá nhân nhằm tống tiền hoặc mục đích gián điệp.

Việc TikTok thu thập dữ liệu qua địa chỉ Mac khiến không ít chuyên gia lo ngại. "Đó là cách để theo dõi và thu thập dữ liệu người dùng lâu dài, trong khi nạn nhân không thể từ chối", Joel Reardon, trợ lý giáo sư tại Đại học Calgary và đồng sáng lập công ty chuyên phân tích ứng dụng di động AppCensus, nhận xét.

Tháng 6 năm ngoái, Reardon là người phát hiện lỗ hổng trên Android và báo cáo cho Google, nhưng không chỉ đích danh ứng dụng nào khai thác. Tuy nhiên, trong phiên bản Android mới nhất, chuyên gia này cho biết nó vẫn tồn tại. "Tôi bị sốc vì lỗ hổng vẫn có thể khai thác được", Reardon nói.

Theo thống kê của AppCensus năm 2018 với 25.152 ứng dụng Android hỗ trợ Internet phổ biến, có khoảng 347 (1,4%) trong đó thu thập địa chỉ Mac.

TikTok hiện là một trong những ứng dụng bị chính quyền Tổng thống Donald Trump liệt vào danh sách "đe dọa an ninh quốc gia" và sẽ bị cấm, trừ khi bán mình cho công ty Mỹ. Microsoft đang là ứng viên sáng giá trong vụ thâu tóm TikTok. Một vài tin đồn nói thương vụ này có giá khoảng 50 tỷ USD nhưng trước áp lực của Trump, Microsoft có thể trả giá thấp hơn.