Hàng nghìn ứng dụng Android vẫn tiếp tục lấy dữ liệu từ điện thoại dù cho không được cấp quyền truy cập

Khi sử dụng điện thoại Android, bạn quyết định rằng không cho phép một ứng dụng theo dấu thông tin từ điện thoại, bạn có lẽ sẽ cảm thấy yên tâm rằng phần mềm ấy sẽ không thể truy cập tin tức từ điện thoại của bạn nữa. Nhưng các nhà nghiên cứu lại đã cho thấy hàng nghìn phần mềm đã tìm ra cách qua mặt hệ thống cấp quyền truy cập của Android, truy cập tin tức trên điện thoại hay thậm chí có thể theo dấu được địa thế của bạn.

Kể cả khi bạn từ chối cấp quyền truy cập thông tin cá nhân cho phần nào mềm nào đó trên điện thoại Android, bạn sẽ vẫn mắc phải nguy cơ bị khai thác thông tin trong điện thoại. Khi bạn cấp quyền truy cập thông tin cho 1 ứng dụng nào đó, nó sẽ chia sẻ tin tức ấy với những ứng dụng khác và lưu những tin tức ấy lại trong 1 bộ nhớ thông tin được chia sẻ chung giữa các phần mềm. Việc này dẫn tới khả năng các ứng dụng độc hại chạy trên điện thoại có thể thu thập dữ liệu của bạn. Mặc dù hai ứng dụng chia sẻ tin tức cũng có thể không hề liên quan đến nhau, các nhà nghiên cứu chỉ ra rằng vì chúng đều được thành lập trên và một bộ công cụ phát triển ứng dụng (SDK) nên các phần mềm độc hại vẫn có khả năng truy cập tin tức trên điện thoại. Đã có bằng chứng cho thấy những người sở hữu những SDK này đang thu nhận tin tức từ những phần mềm của họ.

Theo một nhiên cứu được ban bố tại PirvacyCon 2019, những phần mềm vẫn thu thập tin tức của người dùng bao gồm khi bị từ chối cấp phép có cả các phần mềm có hàng trăm triệu lượt tải về của Samsung hay Disney. Họ sử dụng các SDK tạo nên bởi ông lớn công nghệ Trung Quốc Baidu và bộ phân tích dữ liệu của công ty Salmonads để cũng có thể có thể chuyển tải dữ liệu từ phần mềm này qua phần mềm khác rồi trở về máy server của họ bằng phương pháp lưu giữ dữ liệu trên chính điện thoại của bạn trước. Các nhà nghiên cứu tìm ra rằng ứng dụng sử dụng SDK của Baidu đang rục rịch sử dụng sử dụng những dữ liệu này cho mục đích riêng.

Ông Serge Egelman, giám đốc nghiên cứu của tổ chức Usable Securaty and Privacy tại Viện Khoa học máy tính nước ngoài (ICSI) cho biết nhóm nghiên cứu đã tìm ra các lỗ hổng kênh bên (side channel). Dữ liệu về các địa chỉ MAC của chip mạng, router, điểm truy cập không dây, SSID,… của người dùng cũng có thể bị gửi quay trở về máy chủ của chúng.

Nghiên cứu này cũng chỉ ra phần mềm chụp hình Shutterfly đã gửi tọa độ GPS trực tiếp của người dùng về máy server mà chưa được sự cấp phép của người dùng bằng cách thu thập tin tức qua siêu dữ liệu EXIF từ ảnh của người dùng. Mặc dù sau đó công ty này đã không đồng ý kết tội liên quan đến việc phần mềm chụp hình của họ thu thập dữ liệu mà không cần sự cho phép của người dùng.

Theo nhóm nghiên cứu thì sau khi họ thông báo về sự cố này cho phía Google từ hồi tháng 9 năm ngoái thì phiên bản Android Q sắp ra mắt sẽ có các thay đổi nhằm chống lại vấn đề này. Mặc dù vậy, vẫn có những smartphone Android sẽ chưa được update phiên bản Android Q. Cho tới tháng 5 vừa qua, mới có 10,4% điện thoại Android sử dụng phiên bản Android P, còn sót lại tới hơn 60% smartphone Android khác vẫn còn sử dụng hệ điều hành Android N đã 3 năm tuổi.

Các nhà nghiên cứu cho là Google luôn phải có các động thái hùng cường hơn, cũng có thể là đưa ra những bản cập nhật bảo mật ngay tức thì để làm được thể bảo quản cả những người sử dụng các phiên bản Android cũ hơn. Egelman phát biểu: “Chính Google từn phát biểu sự bảo mật không cần là một thứ hàng xa xỉ không phải ai cũng mua được, thể nhưng sự việc đang xảy ra lại đi trái lại với phát biểu của họ.”

Google từ chối đưa ra bình luận về vụ việc của những tiết bị đang gặp nguy cơ bảo mật, nhưng họ cam đoan rằng Android Q sẽ được thể đảm bảo an toàn cho các thông tin về vùng địa lý khỏi các phần mềm chụp ảnh. Và những ứng dụng chụp hình luôn phải giải trình rõ với Play Store liệu chúng có thể truy cập siêu dữ liệu địa thế hay không.