Nhiều ứng dụng tại Việt Nam tự động lấy dữ liệu iPhone
Chrome, Lazada, MoneyKeeper, Từ điển Anh – Việt bị phát hiện tự động lấy dữ liệu từ bộ nhớ tạm của iPhone, giống Zalo.
Khi mở các ứng dụng trên từ iPhone đã cập nhật hệ điều hành iOS 14 Beta, máy sẽ hiện thông báo dạng “Ứng dụng A pasted from ứng dụng B”. Trên iOS mới, thông báo này nhằm cho người dùng biết ứng dụng A đang sao chép nội dung từ ứng dụng B. Tuy nhiên, thông báo hiện ra ở các ứng dụng trên ngay cả khi người dùng không thực hiện lệnh “Dán”, tức là dữ liệu từ bộ nhớ tạm (clipboard) đã được lấy ngay cả khi người dùng không yêu cầu.
Sau khi sao chép đoạn văn bản và mở một số ứng dụng, iPhone xuất hiện thông báo “pasted from”, nhưng không thể hiện nội dung đã được dán vào đâu và sử dụng như thế nào.
Trong số các ứng dụng đang tự động lấy dữ liệu từ clipboard của iPhone có nhiều thương hiệu nằm trong top phổ biến tại Việt Nam, như Zalo, TikTok, Lazada. Theo bảng xếp hạng ngày 1/7, các ứng dụng này lần lượt xếp hạng 3, 5 và 13 trong danh sách ứng dụng iOS miễn phí được tải về nhiều nhất, với số lượt tải hàng triệu.
Ngoài ra, các ứng dụng từ điển như Từ điển Anh Việt TFlat, từ điển Anh Việt Offline, ứng dụng quản lý tài chính MoneyKeeper, ứng dụng VPN 1.1.1.1, bộ ứng dụng Google như Chrome, Translate… vốn có lượng người Việt sử dụng đông đảo, cũng tự động “paste” nội dung trong clipboard.
Trong điều khoản sử dụng, các ứng dụng trên không nhắc đến việc sẽ lấy dữ liệu từ bộ nhớ tạm của điện thoại. Việc “pasted” được thực hiện tự động, khiến người dùng không biết dữ liệu sẽ được dán vào đâu và sử dụng như thế nào.
Theo Bùi An, quản trị viên một diễn đàn công nghệ tại Việt Nam, người dùng đương nhiên không muốn bị thu thập dữ liệu. Tuy nhiên, như cách các ứng dụng trên thu thập thông tin, người dùng ở vai trò “bị ép” phải cho dữ liệu, bởi nếu không cho, họ không thể sử dụng ứng dụng nữa.
Đại diện Lazada Việt Nam ghi nhận sự việc và cho biết họ nhận thấy đây là vấn đề chung đang diễn ra trên nhiều ứng dụng phổ biến. “Công ty đang tiến hành rà soát lại để tránh gây hiểu nhầm cho người dùng”, đại diện Lazada cho biết. Zalo, MoneyKeeper, TFlat chưa giải thích về vấn đề này.
Khi mở Zalo, nhiều người dùng iOS 14 Beta nhận thấy máy hiện thông báo “Zalo pasted from…”, thể hiện ứng dụng đang lấy dữ liệu từ bộ nhớ tạm của máy.
Theo các chuyên gia công nghệ, các ứng dụng trên iOS và iPadOS vốn có quyền truy cập không hạn chế vào clipboard của hệ thống, nên việc ứng dụng có thể đọc dữ liệu từ bộ nhớ tạm cũng không vi phạm các điều khoản của Apple. Dữ liệu được lưu trong clipboard thường có nhiều dạng: văn bản, ảnh, file PDF. Tuy nhiên, dữ liệu được lấy từ các ứng dụng thường chỉ ở dạng văn bản. Theo Trần Tuyên, chuyên gia IT đang làm việc tại Hà Nội, “các nhà phát triển ứng dụng cần chỉ rõ cho người dùng dữ liệu được thu thập sẽ được sử dụng thế nào, để tránh những hiểu lầm không đáng có”.
Ông Võ Đỗ Thắng, Giám đốc trung tâm bảo mật Athena nhận định, việc ứng dụng tự lấy dữ liệu trong bộ nhớ tạm khi chưa được phép, người dùng không biết dữ liệu này sẽ được sử dụng như thế nào là nguy hiểm. “Điều này tạo ra nhiều nguy cơ về mặt bảo mật, đặc biệt nếu các dữ liệu được copy đó là tên đăng nhập, mật khẩu, hay mã OTP ngân hàng”, ông nói.
Cuối tháng 6, TikTok bị phát hiện đọc dữ liệu clipboard của người dùng iPhone. Ngay sau đó, hãng đã xóa tính năng này trong bản cập nhật ứng dụng mới trên App Store. TikTok giải thích ứng dụng truy cập bộ nhớ tạm để nhận dạng và ngăn chặn hành vi spam lặp đi lặp lại, chứ không xâm phạm sự riêng tư.
Nhà nghiên cứu bảo mật Tommy Mysk thống kê có ít nhất 53 ứng dụng phổ biến trên thế giới cũng thu thập dữ liệu qua clipboard, bao gồm các trang báo như Fox News, New York Times, Wall Street Journal; những game nhiều người chơi, như Bejeweled , Fruit Ninja và PUBG Mobile, cũng như các tiện ích AccuWeather, DAZN và Overstock… Trong số này, một vài ứng dụng liên tục lấy dữ liệu trong clipboard, một số khác chỉ lấy khi khởi động, hoặc lấy trong các tác vụ nhất định.
Ngoài TikTok, có ít nhất 53 ứng dụng đang xem lén clipboard trên iPhone
Sau khi bị phát hiện, TikTok có thể sẽ sớm dừng việc đọc lén dữ liệu sao chép trên bộ nhớ tạm (clipboard) trên iOS, nhưng điều đó không có nghĩa là các nhà phát triển ứng dụng khác cũng noi gương theo họ.
Dữ liệu sao chép ở bộ nhớ tạm trên iOS không thực sự an toàn như nhiều người vẫn nghĩ
Nhà nghiên cứu bảo mật Tommy Mysk chia sẻ với Ars Technica rằng, tính tới cuối tháng 3 vừa qua vẫn có tới 53 ứng dụng phổ biến được xác định là đang thu thập dữ liệu clipboard trên iOS, chúng có khả năng chia sẻ dữ liệu nhạy cảm với các thiết bị khác gần đó bằng cùng một ID Apple.
Cụ thể, hành vi này có thể nhìn thấy trong các ứng dụng tin tức của Fox News , New York Times và Wall Street Journal. Bạn cũng sẽ tìm thấy nó trong các trò chơi như Bejeweled , Fruit Ninja và PUBG Mobile . Ngoài ra, các ứng dụng mạng xã hội như Viber, Weibo và Zoosk cùng một số ứng dụng tiện ích gồm AccuWeather, DAZN và Overstock... cũng có tính năng "đọc lén" clipboard trên iOS.
Sau khi bị phát hiện thông qua iOS 14, một số nhà phát triển ứng dụng đã tuyên bố sẽ thay đổi hành vi của họ, trong đó có TikTok, 10% Happier và Hotel Tonight. Họ cho biết sẽ cắt giảm việc sử dụng tính năng đọc dữ liệu clipboard trên iOS. Chẳng hạn, Pixelmator tuyên bố sẽ chỉ "xem" dữ liệu nếu đó là một hình ảnh.
Sẽ không có gì đáng ngạc nhiên nếu có nhiều thay đổi hơn nhờ vào tính năng giám sát clipboard của iOS 14. May mắn là hầu hết 53 ứng dụng được liệt kê thuộc các tên tuổi lớn và thường là đáng tin cậy. Tuy nhiên, vẫn còn nhiều ứng dụng ngoài tầm ngắm có thể tích hợp tính năng này với mục đích xấu mà ít ai lường hết. Do vậy, chúng ta nên tránh sao chép các dữ liệu nhạy cảm như mật khẩu hoặc tên tài khoản trên cả iOS và Android nếu không cần thiết để tránh bị rò rỉ đáng tiếc.
TikTok nói không lưu dữ liệu clipboard trên iPhone Đại diện TikTok cho biết bản cập nhật mới không còn tự lấy dữ liệu bộ nhớ tạm (clipboard), đồng thời khẳng định không lưu trữ thông tin này. Cụ thể, TikTok đã vô hiệu hóa tính năng lấy clipboard bằng bản cập nhật ngày 27/6. Mạng video ngắn của ByteDance khẳng định không thu thập hoặc lưu trữ dữ liệu cho mục...