Kỹ sư Microsoft bị phát hiện “ăn cắp vặt” lên tới 10 triệu USD

Đảo ngược công nghệ của TikTok, kỹ sư phần mềm kinh ngạc vì mức độ thu thập thông tin người dùng của ứng dụng

So với TikTok, lượng thông tin mà Facebook, Twitter thu thập từ người dùng chỉ như một cốc nước so với đại dương.

Cho dù Facebook hay Twitter đang bị xem như các hình mẫu cho những ứng dụng liên quan đến việc xâm phạm dữ liệu nhạy cảm của người dùng, nhưng so với mạng xã hội mới nổi TikTok, đây vẫn là các thiên đường về bảo mật trực tuyến về thông tin người dùng. Đó là nhận định từ một kỹ sư phần mềm cao cấp với 15 năm kinh nghiệm.

Hai tháng trước, người dùng Reddit với tên gọi Bangorlol cho biết mình đã thành công trong việc đảo ngược kỹ thuật đối với TikTok và cho phép kỹ sư này nhìn sâu vào cơ chế hoạt động bên trong của ứng dụng này. Về cơ bản, đối với các hành vi của ứng dụng này khi theo dõi người dùng một cách vô tội vạ cũng như nhiều vấn đề khác, kỹ sư này khuyến cáo người dùng không bao giờ nên cài đặt nó.

Dưới đây là những gì ông đã phát hiện ra.

" Tôi đã đảo ngược kỹ thuật ứng dụng này và cảm thấy tự tin tuyên bố rằng tôi rất hiểu cách ứng dụng này hoạt động (hay ít nhất cách nó hoạt động vài tháng nay). TikTok là một dịch vụ thu thập dữ liệu được che đậy một cách mong manh dưới dạng một mạng xã hội. Nếu có một API nào đó để lấy thông tin về bạn, danh bạ, hoặc thiết bị của bạn ... chúng đều sẽ được sử dụng.

Phần cứng điện thoại (loại CPU, số nhân, id phần cứng, kích thước màn hình, mật độ điểm ảnh, khả năng sử dụng bộ nhớ, ổ cứng lưu trữ, ...). Các ứng dụng cài đặt trong điện thoại (Thậm chí tôi còn thấy cả một số ứng dụng từng bị xóa hiện ra trong bảng phân tích tải ứng dụng của họ - có lẽ nó được lấy từ giá trị bộ nhớ cache). Mọi thông tin liên quan đến mạng dữ liệu (địa chỉ IP, địa chỉ MAC của router, MAC của thiết bị, tên wifi) đều bị thu thập.

Các thông tin được TikTok thu thập bất kể thiết bị của bạn có root hay jailbreak hay không.

Một số phiên bản của ứng dụng còn định kỳ bật GPS theo thời gian, chừng 30 giây mỗi lần - điều này được bật mặc định nếu bạn từng gắn tag địa chỉ cho một bài đăng của mình. Họ còn thiết lập một máy chủ proxy ngay trên thiết bị của bạn để "chuyển mã đa phương tiện", nhưng nó có thể bị xâm phạm một cách dễ dàng khi nó gần như không có biện pháp xác thực nào.

Điều đáng sợ nhất trong tất cả chuyện này là phần nhiều hoạt động ghi chép này được cấu hình từ xa, và trừ khi bạn có thể đảo ngược từng thư viện native của họ và kiểm tra thủ công từng chức năng mờ ám của nó.

Trên hết, họ thậm chí còn không sử dụng HTTPS trong một thời gian dài. Họ làm rò rỉ địa chỉ email của người dùng trong API HTTP REST của mình, cũng như địa chỉ email phụ của người dùng để reset mật khẩu. Đó là còn chưa kể đến tên thật và ngày sinh của người dùng nữa. Tất cả đều bị tiết lộ công khai vài tháng trước.

Trong khi đó, họ lại có nhiều lớp bảo vệ khác nhau để ngăn bạn đảo ngược lại ứng dụng này. Hành vi của ứng dụng sẽ thay đổi một chút nếu nó biết bạn đang đang tìm cách biết được chúng đang làm gì.

Dường như họ không muốn bạn biết đang thu thập nhiều thông tin về bạn như thế nào, cũng như phương pháp bảo mật dữ liệu yếu kém của họ. Họ mã hóa mọi yêu cầu phân tích với một thuật toán có thể thay đổi theo mỗi lần cập nhật để làm bạn không thể thấy họ đang làm những gì."

...

" Tôi đã từng đảo ngược các ứng dụng Instagram, Facebook, Reddit và Twitter. Lượng dữ liệu họ thu thập không thể nhiều như TikTok làm, và chắc chắn họ cũng không dám công khai che giấu những gì được gửi đi giống như TikTok. (Các ứng dụng trên so với TikTok) cũng giống như một cốc nước với đại dương vậy - họ không thể so sánh nổi."

Lời cuối: " Tôi chỉ là một anh nerd (từ chỉ người nghiện nghiên cứu công nghệ) muốn tìm hiểu cách ứng dụng hoạt động. Gọi nó (chỉ TikTok) là một nền tảng quảng cáo vẫn còn quá nhẹ nhàng. Về cơ bản TikTok là một malware nhắm đến trẻ con. Đừng dùng TikTok. Cũng đừng để bạn bè và gia đình bạn sử dụng nó."

Lời khuyên của Bangorlol đang đến đúng lúc hơn bao giờ hết. Thống kê cho thấy, trong năm 2019, TikTok là ứng dụng miễn phí được tải xuống nhiều thứ 4 trên iPhone. Thu nhập của ứng dụng này cũng gia tăng tương ứng với mức độ phổ biến ngày càng tăng của nó. Theo báo cáo từ Bloomberg, lợi nhuận ròng của ByteDance, công ty sở hữu TikTok, đã đạt được 3 tỷ USD vào năm ngoái.

Không chỉ phát hiện của Bangorlol, bản cập nhật iOS 14 mới đây của Apple cũng bắt quả tang nhiều hành vi xâm phạm người dùng khi liên tục đưa ra cảnh báo TikTok đang truy cập vào bộ nhớ tạm của thiết bị. Sau khi Apple công bố iOS 14, TikTok cũng ra thông báo cho biết sẽ không truy cập vào bộ nhớ tạm trên máy người dùng nữa.