Nhiều ứng dụng tại Việt Nam tự động lấy dữ liệu iPhone

Chrome, Lazada, MoneyKeeper, Từ điển Anh – Việt bị phát hiện tự động lấy dữ liệu từ bộ nhớ tạm của iPhone, giống Zalo.

Khi mở các ứng dụng trên từ iPhone đã cập nhật hệ điều hành iOS 14 Beta, máy sẽ hiện thông báo dạng “Ứng dụng A pasted from ứng dụng B”. Trên iOS mới, thông báo này nhằm cho người dùng biết ứng dụng A đang sao chép nội dung từ ứng dụng B. Tuy nhiên, thông báo hiện ra ở các ứng dụng trên ngay cả khi người dùng không thực hiện lệnh “Dán”, tức là dữ liệu từ bộ nhớ tạm (clipboard) đã được lấy ngay cả khi người dùng không yêu cầu.

Sau khi sao chép đoạn văn bản và mở một số ứng dụng, iPhone xuất hiện thông báo “pasted from”, nhưng không thể hiện nội dung đã được dán vào đâu và sử dụng như thế nào.

Trong số các ứng dụng đang tự động lấy dữ liệu từ clipboard của iPhone có nhiều thương hiệu nằm trong top phổ biến tại Việt Nam, như Zalo, TikTok, Lazada. Theo bảng xếp hạng ngày 1/7, các ứng dụng này lần lượt xếp hạng 3, 5 và 13 trong danh sách ứng dụng iOS miễn phí được tải về nhiều nhất, với số lượt tải hàng triệu.

Ngoài ra, các ứng dụng từ điển như Từ điển Anh Việt TFlat, từ điển Anh Việt Offline, ứng dụng quản lý tài chính MoneyKeeper, ứng dụng VPN 1.1.1.1, bộ ứng dụng Google như Chrome, Translate… vốn có lượng người Việt sử dụng đông đảo, cũng tự động “paste” nội dung trong clipboard.

Trong điều khoản sử dụng, các ứng dụng trên không nhắc đến việc sẽ lấy dữ liệu từ bộ nhớ tạm của điện thoại. Việc “pasted” được thực hiện tự động, khiến người dùng không biết dữ liệu sẽ được dán vào đâu và sử dụng như thế nào.

Theo Bùi An, quản trị viên một diễn đàn công nghệ tại Việt Nam, người dùng đương nhiên không muốn bị thu thập dữ liệu. Tuy nhiên, như cách các ứng dụng trên thu thập thông tin, người dùng ở vai trò “bị ép” phải cho dữ liệu, bởi nếu không cho, họ không thể sử dụng ứng dụng nữa.

Đại diện Lazada Việt Nam ghi nhận sự việc và cho biết họ nhận thấy đây là vấn đề chung đang diễn ra trên nhiều ứng dụng phổ biến. “Công ty đang tiến hành rà soát lại để tránh gây hiểu nhầm cho người dùng”, đại diện Lazada cho biết. Zalo, MoneyKeeper, TFlat chưa giải thích về vấn đề này.

Khi mở Zalo, nhiều người dùng iOS 14 Beta nhận thấy máy hiện thông báo “Zalo pasted from…”, thể hiện ứng dụng đang lấy dữ liệu từ bộ nhớ tạm của máy.

Theo các chuyên gia công nghệ, các ứng dụng trên iOS và iPadOS vốn có quyền truy cập không hạn chế vào clipboard của hệ thống, nên việc ứng dụng có thể đọc dữ liệu từ bộ nhớ tạm cũng không vi phạm các điều khoản của Apple. Dữ liệu được lưu trong clipboard thường có nhiều dạng: văn bản, ảnh, file PDF. Tuy nhiên, dữ liệu được lấy từ các ứng dụng thường chỉ ở dạng văn bản. Theo Trần Tuyên, chuyên gia IT đang làm việc tại Hà Nội, “các nhà phát triển ứng dụng cần chỉ rõ cho người dùng dữ liệu được thu thập sẽ được sử dụng thế nào, để tránh những hiểu lầm không đáng có”.

Ông Võ Đỗ Thắng, Giám đốc trung tâm bảo mật Athena nhận định, việc ứng dụng tự lấy dữ liệu trong bộ nhớ tạm khi chưa được phép, người dùng không biết dữ liệu này sẽ được sử dụng như thế nào là nguy hiểm. “Điều này tạo ra nhiều nguy cơ về mặt bảo mật, đặc biệt nếu các dữ liệu được copy đó là tên đăng nhập, mật khẩu, hay mã OTP ngân hàng”, ông nói.

Cuối tháng 6, TikTok bị phát hiện đọc dữ liệu clipboard của người dùng iPhone. Ngay sau đó, hãng đã xóa tính năng này trong bản cập nhật ứng dụng mới trên App Store. TikTok giải thích ứng dụng truy cập bộ nhớ tạm để nhận dạng và ngăn chặn hành vi spam lặp đi lặp lại, chứ không xâm phạm sự riêng tư.

Nhà nghiên cứu bảo mật Tommy Mysk thống kê có ít nhất 53 ứng dụng phổ biến trên thế giới cũng thu thập dữ liệu qua clipboard, bao gồm các trang báo như Fox News, New York Times, Wall Street Journal; những game nhiều người chơi, như Bejeweled , Fruit Ninja và PUBG Mobile, cũng như các tiện ích AccuWeather, DAZN và Overstock… Trong số này, một vài ứng dụng liên tục lấy dữ liệu trong clipboard, một số khác chỉ lấy khi khởi động, hoặc lấy trong các tác vụ nhất định.

TikTok nói không lưu dữ liệu clipboard trên iPhone Đại diện TikTok cho biết bản cập nhật mới không còn tự lấy dữ liệu bộ nhớ tạm (clipboard), đồng thời khẳng định không lưu trữ thông tin này. Cụ thể, TikTok đã vô hiệu hóa tính năng lấy clipboard bằng bản cập nhật ngày 27/6. Mạng video ngắn của ByteDance khẳng định không thu thập hoặc lưu trữ dữ liệu cho mục...