Ít nhất 60 triệu người cài ứng dụng Android thu thập dữ liệu trái phép


Tác giả của đoạn code khai thác dữ liệu là Measurement Systems S. de R.L. Theo hồ sơ công ty và đăng ký web, công ty này có liên quan đến một nhà thầu quốc phòng tại Virginia (Mỹ), chuyên về tình báo mạng, phòng thủ mạng và đánh chặn tình báo.

Đoạn code chạy trên hàng triệu dụng cụ Android và có mặt trong vài ứng dụng cầu nguyện với lượt tải hơn 10 triệu. Không những thế, nó còn nhúng trong các phần mềm như phát hiện máy bắn tốc độ trên cao tốc, đọc mã QR hay thời tiết. Tổng cộng, các ứng dụng đã được tải trên tối thiểu 60 triệu dụng cụ. Hai nhà nghiên cứu Serge Egelman và Joel Reardon đã chia sẻ phát hiện với Google, nhà chức trách liên bang và Thời báo Phố Wall.

Measurement Systems trả tiền cho các nhà phát triển khắp thế giới để nhúng đoạn mã – hay SDK – vào ứng dụng của họ. Nó cho phép công ty bí mật thu thập dữ liệu người dùng. Theo ông Egelman, chèn SDK vào ứng dụng sẽ hỗ trợ nhà phát triển có thêm thu nhập cũng như dữ liệu chi tiết về người dùng của họ. Tài liệu của Thời báo Phố Wall cho thấy mỗi nhà phát triển có thể kiếm được từ 100 đến 10.000 USD mỗi tháng hoặc hơn, tùy thuộc vào số lượng người dùng hoạt động.

Hai chuyên gia nhận xét đây là SDK xâm phạm quyền riêng tư nhiều nhất họ từng ghi nhận trong 6 năm làm công việc phân tích ứng dụng di động, có thể xem là mã độc mà không cần do dự.

Người phát ngôn Google cho biết các ứng dụng chứa phần mềm của Measurement Systems đã bị xóa tính đến ngày 25/3. Chúng được quay trở lại nếu gỡ bỏ đoạn code theo dõi. Nhưng, việc gỡ bỏ khỏi Google Play không ảnh hưởng gì đến khả năng thu thập từ hàng triệu điện thoại đã cài đặt chúng. Nhưng, SDK đã ngừng thu thập dữ liệu người dùng sau khi hai chuyên gia bắt đầu công bố phát hiện.

Báo cáo chỉ ra đoạn code có khả năng xác định sự tồn tại của các dụng cụ khác (cũng dùng ứng dụng chứa đoạn code) đang kết nối cùng mạng Wi-Fi, về cơ bản cung cấp một cách để lập bản đồ mạng lưới. Measurement Systems báo cho các nhà phát triển ứng dụng rằng họ muốn dữ liệu chủ yếu từ Trung Đông, Trung và Đông Âu, châu Á. một số còn được yêu cầu ký thỏa thuận không tiết lộ.

SDK khai thác lượng lớn dữ liệu, bao gồm vị trí chính xác, định danh cá nhân (email, số điện thoại), dữ liệu về máy tính và điện thoại di động lân cận. Nó cũng có thể thu thập thông báo lưu trong clipboard điện thoại như mật khẩu mỗi khi người dùng dùng công dụng copy paste. Thậm chí, nó còn quét được một số phần trong hệ thống tập tin dụng cụ như các tập tin lưu trong thư mục tải xuống của WhatsApp.


— Trích dẫn: Cafef —

Tổng Quan Thị Trường

Tin Mới