Hơn 75% ứng dụng Android bí mật theo dõi người dùng

07:40 | 29/12/2017

Yale Privacy Lab (YPL – tổ chức thông tin về an toàn mạng của trung tâm Dự án Cộng đồng Thông tin tại trường luật Yale, Mỹ) đã công bố một kết quả nghiên cứu đáng chú ý với những người dùng Android: Hơn 75% ứng dụng Android được kiểm tra có chứa tính năng theo dõi người dùng.

Các ứng dụng Android theo dõi người dùng không chỉ là những ứng dụng ít phổ biến, mà còn bao gồm cả những ứng dụng lớn như Tinder, Spotify, Uber, PayPal, Twitter và Snapchat. Ngoài ra, còn rất nhiều ứng dụng khác theo dõi người dùng mà chưa bị phát hiện, cho thấy việc theo dõi người dùng bằng ứng dụng di động là một ngành công nghiệp.

Người dùng Android nên quan tâm kết quả nghiên cứu mà YPL đã tìm ra. 3/4 ứng dụng cài đặt trong thiết bị Android đang theo dõi vị trí, hành vi sử dụng thiết bị của người dùng và thậm chí truy cập vào máy ảnh của thiết bị.

YPL dò quét bằng phần mềm nguồn mở Exodus, kiểm tra các dấu hiệu của phần mềm theo dõi người dùng trong cơ sở dữ liệu của ứng dụng để xác định ứng dụng sử dụng phần mềm theo dõi thuộc loại nào. Họ đã dùng Exodus và quét được 25 trong số 44 phần mềm theo dõi trong hệ thống. Điều đó có nghĩa là tỷ lệ phần mềm theo dõi người dùng trên thực tế còn có thể cao hơn 75%.

Cũng giống như các ứng dụng Android độc hại nhiều lớp xuất hiện trong thời gian gần đây, tính năng theo dõi người dùng có thể không xuất hiện ngay từ khi cài đặt ứng dụng, nên Exodus chưa thể phát hiện. Tính năng theo dõi người dùng có thể được bổ sung trong các phiên bản cập nhật.

Các tính năng theo dõi mà YPL phát hiện có khả năng thực hiện rất nhiều công việc khác nhau. Ví dụ như loại có tên là FidZup (trong ứng dụng Bottin Gourmand và nhiều ứng dụng khác) có thể theo dõi vị trí của người dùng bằng cách “ping” thiết bị bằng sóng siêu âm. Thiết bị có thể phát hiện ra sóng siêu âm mà người dùng không nghe được. Các cửa hàng bán lẻ có thể phát sóng để thu thập dữ liệu về vị trí của người dùng.

Các ứng dụng tài chính và y tế cũng có tính năng theo dõi người dùng. Đây là điều mà YPL cho là một vấn đề xâm phạm quyền riêng tư nghiêm trọng: “Không biết chính xác những thông tin gì được chia sẻ, nhưng dữ liệu mà các ứng dụng này lưu trữ cực kỳ nhạy cảm”.

Để minh hoạ cho khả năng theo dõi người dùng, YPL đã phát triển một ứng dụng với tên gọi là FaceGrok. Đây là một ứng dụng đơn giản với khả năng nhận diện khuôn mặt trong máy ảnh của thiết bị Android và nó chứa một loạt các tính năng theo dõi người dùng. YPL đảm bảo với những người muốn kiểm tra FaceGrok rằng ứng dụng này không gửi dữ liệu ra ngoài, tuy nhiên điều này có thể thay đổi khá nhanh và đơn giản. Họ cũng chỉ ra rằng việc có thể đưa ứng dụng này vào Google Play cho thấy việc bổ sung các đoạn mã theo dõi là rất dễ dàng và tính năng theo dõi người dùng là rất phổ biến.

Với khoảng 3/4 số lượng ứng dụng Android có tính năng theo dõi thông tin, người dùng gần như không có khả năng bảo vệ dữ liệu cá nhân. Không có cách nào để nhận diện hoặc chặn những ứng dụng theo dõi trên thiết bị di động, trừ việc xoá các ứng dụng đó.

Những người có khả năng lập trình có thể thử sử dụng phần mềm Exodus – hiện được cung cấp miễn phí trên GitHub (https://github.com/Exodus-Privacy/exodus).

Người dùng Apple cũng không nên nghĩ rằng họ an toàn. YPL cho rằng, có rất nhiều công ty cung cấp các phần mềm theo dõi và có thể hoạt động trên nhiều nền tảng khác nhau nên rất có thể những phần mềm này cũng có mặt trên iOS.