Khi tải xuống một ứng dụng, các yêu cầu cấp phép và chính sách quyền riêng tư thường là những cảnh báo duy nhất ta sẽ nhận được về dữ liệu mà nó đang sử dụng. Thông thường, chúng ta được báo là nó chỉ lấy dữ liệu mà ta đồng ý cung cấp.
Tuy nhiên, các nhà nghiên cứu bảo mật đã xác định, chúng thu thập nhiều thứ hơn chúng ta vẫn tưởng. Hơn 1,000 ứng dụng bị phát hiện lấy dữ liệu ngay cả khi người dùng đã từ chối cung cấp. Chẳng hạn, các ứng dụng theo dõi kinh nguyệt đã chia sẻ các thông tin nhạy cảm với Facebook, cũng như với các công ty khác mà ta không ngờ tới. Tương tự, các ứng dụng được thiết kế để chặn robocalls cũng chia sẻ dữ liệu điện thoại của người dùng với các công ty phân tích.
Bất cứ khi nào một thiết bị gửi dữ liệu, lưu lượng được ghi lại và lưu lại. Vị trí của người dùng được sử dụng khi họ kiểm tra thời tiết, nhưng thông tin tương tự có thể được gửi đến các nhà quảng cáo. Các nhà nghiên cứu có các công cụ để xem nhật ký đó. Sau đó, họ phân tích nó để tìm ra bao nhiêu dữ liệu được gửi và nơi nó được gửi đến.
Thông thường, kiểu phân tích lưu lượng mạng được sử dụng để xem xét, cung cấp một cái nhìn về những gì đang xảy ra trên các mạng Wi-Fi công cộng. Tuy nhiên, trong những năm gần đây, các nhà nghiên cứu đã chuyển phạm vi đó sang điện thoại của chính họ để xem dữ liệu nào mà ứng dụng trên thiết bị của họ gửi đi. Sau khi xem xét kỹ, họ thấy rằng nhiều ứng dụng đang gửi dữ liệu vượt xa những gì mọi người đồng ý theo các chính sách quyền riêng tư và yêu cầu quyền. Serge Egelman, giám đốc nghiên cứu bảo mật và quyền riêng tư tại Viện Khoa học Máy tính Quốc tế cho biết: “Cuối cùng, chúng ta được cung cấp một chính sách về cơ bản là vô nghĩa vì nó không mô tả chính xác những gì đang xảy ra. Cách duy nhất để trả lời câu hỏi là đi vào và xem ứng dụng đang làm gì với dữ liệu đó”.
Đôi khi, dữ liệu chỉ hướng đến các nhà quảng cáo, họ nghĩ rằng có thể sử dụng nó để bán sản phẩm cho người dùng. Dữ liệu vị trí điện thoại có thể là một mỏ vàng cho các nhà quảng cáo, những người khai thác để tìm ra nơi người ta đang ở một số thời điểm nhất định. Nhưng dữ liệu cũng có thể sẽ đến với các cơ quan chính phủ, tận dụng công nghệ để giám sát mọi người. Gần đây, trang The Wall Street Journal đã báo cáo rằng các cơ quan chính phủ đang sử dụng dữ liệu đó để theo dõi người nhập cư.
Theo dõi vị trí
Will Strafach lần đầu tiên bắt đầu xem xét lưu lượng truy cập mạng vào năm 2017, khi anh đang làm việc tại Guardian, một công ty bảo mật di động do anh đồng sáng lập. Công ty đã tạo ra một công cụ phần mềm mà các doanh nghiệp có thể sử dụng để phân tích các ứng dụng của khách hàng, bao gồm lưu lượng truy cập mạng. Lượng dữ liệu đến từ các ứng dụng khác nhau làm anh bị choáng.
Một số ứng dụng đã cung cấp dữ liệu vị trí, gửi tới 200 bản ghi - mỗi bản ghi được đánh dấu thời gian một cách tỉ mỉ - trong khoảng thời gian 12 giờ. Ngay cả khi dịch vụ GPS của điện thoại bị tắt, Strafach đã tìm thấy các lỗ hổng cho phép theo dõi dữ liệu, như thu thập thông tin vị trí khi điện thoại được kết nối với mạng Wi-Fi.
Mức độ nghiêm trọng của sự việc dâng cao ra khi anh phát hiện ra rằng AccuWeather, một ứng dụng thời tiết phổ biến, đang gửi dữ liệu vị trí của người dùng ngay cả khi tắt chia sẻ vị trí. Strafach nói: "Khi đó là một ứng dụng mà tôi đã sử dụng nó và biết những người đã sử dụng nó, đó là một báo động. 'Đây là một vấn đề' trở thành 'Điều này cần phải dừng lại, ngay lập tức.'”
AccuWeather đã không trả lời yêu cầu bình luận.
Strafach nhận thấy các trình theo dõi vị trí ẩn như AccuWeather là một trong những vấn đề riêng tư lớn nhất đối với các ứng dụng di động. Mọi người cấp phép cho các ứng dụng cho mục đích sử dụng của họ, như tìm kiếm trạm xăng gần nhất, nhưng họ không nhận ra rằng đằng sau hậu trường, thông tin đang được chia sẻ với các nhà môi giới dữ liệu.
Không giống như phần mềm độc hại, các ứng dụng được cho phép trong thị trường của Google và Apple và trong một số trường hợp chúng được cài đặt sẵn trên thiết bị. Đó là lý do tại sao nghiên cứu các ứng dụng bằng cách sử dụng lưu lượng mạng mà chúng tạo ra đã trở thành một trọng tâm mới cho Strafach. Anh cho biết: "Lưu lượng truy cập mạng thì đơn giản. Nếu dữ liệu được lấy từ điện thoại, ta có thể thấy nó. Đơn giản vậy thôi”
Kiên trì
Bill Budington, một chuyên gia công nghệ nhân viên cao cấp tại Electronic Frontier Foundation, đã thực hiện phân tích mạng trong hơn một thập kỷ, xây dựng các công cụ như Panopticlick để cho thấy trình duyệt web của bạn được theo dõi rộng rãi như thế nào. Trong năm 2019,, Budington đã bắt đầu tập trung vào các ứng dụng di động. Anh nhanh chóng tìm thấy một mạng lưới các ứng dụng được kết nối với nhau, tất cả đều chia sẻ thông tin về mọi người.
Tháng 01/2020, anh đã phát hành một báo cáo về công ty chuông cửa video của Amazon, Ring, tiết lộ rằng ứng dụng Android của nó đi kèm với các trình theo dõi của bên thứ ba, gửi thông tin nhận dạng cá nhân cho các nhà quảng cáo và Facebook. Nó không phải là một ứng dụng duy nhất đáng quan tâm. Đó là cách tất cả chúng gắn kết với nhau, một mạng dữ liệu ẩn trong mã giúp trình theo dõi xây dựng hình ảnh toàn diện về người dùng và những gì họ đang làm.
Ngay cả khi các công ty nói rằng dữ liệu được ẩn danh, thì cũng rất dễ để xác định một người dựa trên địa điểm, thời gian và hoạt động, tất cả đều có thể được thu thập. Budington nói: "Nếu một ứng dụng dành để xem ESPN và có trình theo dõi của bên thứ ba và cũng có một ứng dụng trên ứng dụng Nest, thì họ có một cái nhìn khá tốt về người dùng trên thiết bị họ. Càng như vậy, các bên thứ ba càng có thể tìm ra những gì người dùng đang làm trên thiết bị của mình”.
Mối quan tâm chính của Budington với các thiết bị theo dõi là một khái niệm được gọi là " Dấu vân tay thiết bị". Đó là khi một trình theo dõi tìm ra cách duy nhất và liên tục để xác định người dùng, ngay cả khi dữ liệu được cho là ẩn danh. Đây là một vấn đề mà những các công ty công nghệ đã cố gắng giải quyết. Năm 2018, Apple cho biết họ sẽ bắt đầu chặn dấu vân tay thiết bị trên trình duyệt Safari.
Vân tay có thể hoạt động theo nhiều cách. Một số trình theo dõi sẽ thu thập dữ liệu trên cài đặt, phông chữ và ứng dụng của người dùng để sử dụng làm dấu vân tay. Nó có hiệu quả vì không chắc ai khác sẽ có cùng cấu hình. Trên các ứng dụng di động, điều đó thậm chí còn dễ dàng hơn vì Apple và Google cung cấp nhận dạng quảng cáo cho thiết bị của họ. Người dùng có thể thường xuyên thay đổi ID, nhưng trình theo dõi vẫn có thể lấy dữ liệu. Và vì họ đã có địa chỉ IP hoặc số phần cứng của thiết bị, nên việc kết hợp thiết bị với ID quảng cáo mới khá dễ dàng.
Một nỗ lực tìm hiểu
Tại Viện Khoa học Máy tính Quốc tế của Đại học California Berkeley, Egelman dẫn đầu một nhóm khoảng 10 nhà nghiên cứu tại một phòng thí nghiệm sử dụng nhiều điện thoại Android được tùy chỉnh được lập trình để tìm kiếm Play Store của Google cho các ứng dụng mới và tìm ra dữ liệu mà mỗi ứng dụng lấy từ thiết bị. Họ đã nghiên cứu quyền riêng tư trên thiết bị di động trong 8 năm và bắt đầu xem xét phân tích lưu lượng mạng trong 5 năm. Nhóm đã sửa đổi một phiên bản hệ điều hành nguồn mở của Android để nó sẽ ghi lại tất cả dữ liệu thô được gửi từ một thiết bị và nơi nó được gửi.
Phiên bản tùy chỉnh cho phép Egelman và nhóm của anh nhìn thấy mọi thứ mà một ứng dụng làm, không chỉ là lưu lượng truy cập mạng của nó. Trong một số trường hợp, các ứng dụng đã cố gắng truy cập dữ liệu vị trí nhưng không gửi nó qua mạng. Họ đã tìm thấy các trường hợp dữ liệu vị trí được thu thập nhưng bị ẩn trước khi nó được gửi qua mạng. Công cụ tìm kiếm các ứng dụng mới và thêm chúng vào cơ sở dữ liệu, nó sẽ kiểm tra hai tuần một lần để xem có trình theo dõi mới nào đã được thêm vào mã của ứng dụng không.
Giống như Budington, Egelman cho biết mối quan tâm lớn nhất của anh khi nghiên cứu các ứng dụng di động là các định danh liên tục. Năm 2019, Egelman đã phát hành nghiên cứu mô tả khoảng 17,000 ứng dụng Android đang tạo một bản ghi hoạt động thiết bị vĩnh viễn bằng cách liên kết ID quảng cáo với các số nhận dạng duy nhất không thể thay đổi, chẳng hạn như số phần cứng thiết bị của người dùng. Hơn một năm sau, không có gì thay đổi.
Egelman nói: “Thật sự choáng, không ai nghiêm túc cả. Người dùng được cung cấp chính sách quyền riêng tư và có thể một số yêu cầu cấp phép. Các yêu cầu không bao gồm các số nhận dạng liên tục được sử dụng. Họ không có cách nào để biết nếu, và khi nào nó xảy ra”
Người dùng có thể làm gì
Người dùng không thể làm gì nhiều để bảo vệ bản thân khỏi những trình theo dõi ngoài việc không tải xuống các ứng dụng có vấn đề để bắt đầu. Nhưng trừ khi người dùng biết những ứng dụng nào cần chú ý, còn lại mọi thứ hoàn toàn mờ mịt.
Budington nói: “Có quá nhiều nhầm lẫn trong không gian mạng và không có câu trả lời rõ ràng cho thắc mắc làm thế nào để tôi tự bảo vệ mình.”
Có nhiều cách để giải quyết. Nhưng chúng không hoàn hảo. Egelman đã sử dụng công cụ nghiên cứu trong phòng thí nghiệm và biến nó thành một phương pháp mà mọi người có thể sử dụng để kiểm tra các ứng dụng có vấn đề trên các thiết bị của riêng họ. Anh không mong đợi mọi người sẽ đột nhiên học cách phân tích lưu lượng mạng, và cũng không muốn mọi người phải làm điều đó. Egelman nói: “Nếu cần một nhóm các nhà nghiên cứu viết các công cụ của riêng họ và kiểm tra lưu lượng mạng để tìm ra ứng dụng nào đang có những hoạt động chính xác gì, thật không hợp lý khi hy vọng người dùng bình thường sẽ làm điều đó. Thay vào đó, các nhóm giám sát và cơ quan quản lý nên làm điều này."
Strafach cho biết công ty của anh đang nghiên cứu một bản cập nhật cho ứng dụng firewall của mình, nó sẽ thông báo cho mọi người bất cứ khi nào một ứng dụng lấy nhiều dữ liệu hơn mức cần thiết. Anh nói: "Có rất nhiều người muốn có thể tìm thấy thứ gì đó dễ sử dụng ngoài kia. Thật mong mọi người quan tâm nhiều hơn đến quyền riêng tư"
- Từ khóa :
- Điện Thoại
- ,
- dữ liệu
- ,
- Bảo mật
- ,
- Công Nghệ
Gửi ý kiến của bạn