Khi một ứng dụng trên Android yêu cầu cấp quyền, bạn chọn No và nghĩ rằng nó sẽ không có quyền truy cập dữ liệu của bạn cũng như theo dõi bạn. Thế nhưng các nhà nghiên cứu cho biết hàng ngàn ứng dụng vẫn đang đánh lừa hệ thống cấp quyền của Android, từ đó lấy thông tin nhận dạng về thiết bị lẫn dữ liệu vị trí.
Khi bạn từ chối cấp quyền truy cập dữ liệu cá nhân cho một ứng dụng thì về mặt lý thuyết, nó không được động đến loại dữ liệu này dù chỉ một bit. Thế nhưng một ứng dụng khác bạn đã cấp quyền trước đó lại có thể chia sẻ dữ liệu cá nhân với các ứng dụng không được cấp nhờ lưu trữ dạng dữ liệu này trong bộ nhớ chia sẻ. Điều này rất đáng lo ngại bởi các ứng dụng độc hại cũng có thể truy xuất được dữ liệu.
2 ứng dụng có thể không liên quan gì đến nhau nhưng theo các nhà nghiên cứu do chúng được phát triển trên cùng một bộ phần mềm phát triển ứng dụng (SDK) thành ra chúng có thể truy xuất dữ liệu chung và người phát triển ứng dụng sẽ có được dữ liệu này.
Theo một nghiên cứu được công bố tại PrivacyCon 2019, các nhà nghiên cứu đến từ đại học Calgary, viện IMDEA Networks thuộc đại học Carlos III de Madrid, viện nghiên cứu khoa học máy tính quốc tế (ICSI) và đại học California tại Berkeley đã đưa ra dẫn chứng về các ứng dụng của Samsung và Disney với lượt tải đến vài trăm ngàn lần. Chúng đều sử dụng các bộ SDK được phát triển bởi Baidu, Trung Quốc và một công ty phân tích có tên Salmonads có thể chuyển giao dữ liệu của bạn từ ứng dụng này sang ứng dụng khác cũng như đưa về các máy chủ của họ bằng cách lưu trữ nó trên bộ nhớ điện thoại và truy xuất sau. Các nhà nghiên cứu còn phát hiện ra một số ứng dụng sử dụng SDK của Baidu có thể âm thầm thu thập dữ liệu của người dùng.
Thêm vào đó, rất nhiều lỗ hổng kênh biên được nhóm nghiên cứu này phát hiện trong đó bao gồm các lỗ hổng có thể được khai thác để thu thập các thông tin như địa chỉ MAC của thiết bị kết nối mạng, bộ định tuyến, tên điểm truy cập Wi-Fi, SSID …
Nghiên cứu còn nêu đích danh ứng dụng Shutterfly - môt ứng dụng chỉnh sửa và làm album ảnh phổ biến đã âm thầm gởi dữ liệu GPS về máy chủ bằng cách thu thập dữ liệu này từ EXIF của ảnh chụp. Mặc dù vậy công ty này lên tiếng phủ nhận hành vi.
Android Q sắp ra mắt hứa hẹn sẽ khắc phục một số vấn đề liên quan đến bảo mật dữ liệu riêng tư và bản thân nhóm nghiên cứu cũng đã thông báo với Google về những phát hiện của mình. Tuy vậy, những cải tiến này sẽ không đến với mọi thiết bị bởi không phải chiếc điện thoại nào cũng được cập nhật lên Android Q. Theo thống kê thì tính đến tháng 5 vừa qua, chỉ có 10,4% thiết bị Android chạy Android P và hơn 60% vẫn đang chạy Android N vốn đã gần 3 năm tuổi.
Các nhà nghiên cứu cho rằng Google cần phải hành động nhiều hơn, chẳng hạn như phát hành các bản vá bảo mật cho các phiên bản Android cũ để đảm bảo người dùng được bảo vệ tốt hơn, không chỉ là người dùng mua các thiết bị mới.
Mặc dù Google từ chối bình luận về các lỗ hổng bảo mật cụ thể nhưng hãng xác nhận rằng Android Q mặc định sẽ ẩn thông tin địa lý trước các ứng dụng ảnh đồng thời sẽ yêu cầu các ứng dụng này xác nhận về khả năng truy xuất dữ liệu vị trí.
Khi bạn từ chối cấp quyền truy cập dữ liệu cá nhân cho một ứng dụng thì về mặt lý thuyết, nó không được động đến loại dữ liệu này dù chỉ một bit. Thế nhưng một ứng dụng khác bạn đã cấp quyền trước đó lại có thể chia sẻ dữ liệu cá nhân với các ứng dụng không được cấp nhờ lưu trữ dạng dữ liệu này trong bộ nhớ chia sẻ. Điều này rất đáng lo ngại bởi các ứng dụng độc hại cũng có thể truy xuất được dữ liệu.
2 ứng dụng có thể không liên quan gì đến nhau nhưng theo các nhà nghiên cứu do chúng được phát triển trên cùng một bộ phần mềm phát triển ứng dụng (SDK) thành ra chúng có thể truy xuất dữ liệu chung và người phát triển ứng dụng sẽ có được dữ liệu này.
Theo một nghiên cứu được công bố tại PrivacyCon 2019, các nhà nghiên cứu đến từ đại học Calgary, viện IMDEA Networks thuộc đại học Carlos III de Madrid, viện nghiên cứu khoa học máy tính quốc tế (ICSI) và đại học California tại Berkeley đã đưa ra dẫn chứng về các ứng dụng của Samsung và Disney với lượt tải đến vài trăm ngàn lần. Chúng đều sử dụng các bộ SDK được phát triển bởi Baidu, Trung Quốc và một công ty phân tích có tên Salmonads có thể chuyển giao dữ liệu của bạn từ ứng dụng này sang ứng dụng khác cũng như đưa về các máy chủ của họ bằng cách lưu trữ nó trên bộ nhớ điện thoại và truy xuất sau. Các nhà nghiên cứu còn phát hiện ra một số ứng dụng sử dụng SDK của Baidu có thể âm thầm thu thập dữ liệu của người dùng.
Thêm vào đó, rất nhiều lỗ hổng kênh biên được nhóm nghiên cứu này phát hiện trong đó bao gồm các lỗ hổng có thể được khai thác để thu thập các thông tin như địa chỉ MAC của thiết bị kết nối mạng, bộ định tuyến, tên điểm truy cập Wi-Fi, SSID …
Nghiên cứu còn nêu đích danh ứng dụng Shutterfly - môt ứng dụng chỉnh sửa và làm album ảnh phổ biến đã âm thầm gởi dữ liệu GPS về máy chủ bằng cách thu thập dữ liệu này từ EXIF của ảnh chụp. Mặc dù vậy công ty này lên tiếng phủ nhận hành vi.
Android Q sắp ra mắt hứa hẹn sẽ khắc phục một số vấn đề liên quan đến bảo mật dữ liệu riêng tư và bản thân nhóm nghiên cứu cũng đã thông báo với Google về những phát hiện của mình. Tuy vậy, những cải tiến này sẽ không đến với mọi thiết bị bởi không phải chiếc điện thoại nào cũng được cập nhật lên Android Q. Theo thống kê thì tính đến tháng 5 vừa qua, chỉ có 10,4% thiết bị Android chạy Android P và hơn 60% vẫn đang chạy Android N vốn đã gần 3 năm tuổi.
Các nhà nghiên cứu cho rằng Google cần phải hành động nhiều hơn, chẳng hạn như phát hành các bản vá bảo mật cho các phiên bản Android cũ để đảm bảo người dùng được bảo vệ tốt hơn, không chỉ là người dùng mua các thiết bị mới.
Mặc dù Google từ chối bình luận về các lỗ hổng bảo mật cụ thể nhưng hãng xác nhận rằng Android Q mặc định sẽ ẩn thông tin địa lý trước các ứng dụng ảnh đồng thời sẽ yêu cầu các ứng dụng này xác nhận về khả năng truy xuất dữ liệu vị trí.
Theo: The Verge