Có tới 75% ứng dụng Android đang theo dõi người dùng trái phép, như Uber, Twitter, Snapchat, PayPal...

Yale Privacy Lab vừa phát hiện ra các đoạn mã theo dõi người dùng ẩn trong hàng trăm ứng dụng Android phổ biến. Các đoạn mã này sẽ gửi thông tin liên quan người dùng gồm vị trí, hoạt động và các thông tin cá nhân khác về cho nhà phát triển.

Theo TechRepublic, công bố của Yale Privacy Lab đã gióng lên hồi chuông cảnh báo đối với mọi người dùng Android: hơn 75% ứng dụng Android đã được kiểm tra có chứa mã theo dõi người dùng trái phép.

Những ứng dụng có mã theo dõi này không phải là những ứng dụng nhỏ lẻ, cố trộm thông tin người dùng để "kiếm ít vốn làm ăn". Chúng là những ứng dụng cực kỳ nổi tiếng như Tinder, Spotify, Uber, PayPal, Twitter, Snapchat... YPL cũng nói thêm rằng có nhiều ứng dụng vẫn chưa bị phát hiện, bởi rõ ràng theo dõi người dùng thông qua các ứng dụng di động là cả một nền công nghiệp thực thụ.

Người dùng Android hoàn toàn có quyền lo lắng, bởi nếu nghiên cứu của YPL là chính xác thì có đến 3 trong số 4 ứng dụng được cài trên máy của bạn sẽ có đoạn mã theo dõi và đang gửi đi các thông tin địa điểm, loại thiết bị, hành vi, thậm chí là truy cập cả camera mà bạn không hề hay biết.

Quét các đoạn mã theo dõi

YPL quét các đoạn mã nêu trên bằng cách sử dụng một công cụ mã nguồn mở mang tên Exodus, hoạt động tương tự một trình antivirus. Nó sẽ kiểm tra chữ ký của các đoạn mã trong cơ sở dữ liệu để xác định ứng dụng đang sử dụng đoạn mã nào.

Trong thí nghiệm, YPL đã dùng Exodus để quét ra 25 trong số 44 đoạn mã theo dõi trong hệ thống. 25/44, tức tỉ lệ là 75%, và tỷ lệ này cũng chỉ là một nửa của những gì hiện có, do đó số lượng ứng dụng đang theo dõi bạn sẽ có thể còn cao hơn rất nhiều.

Cũng giống như phần lớn các malware trên Android, các đoạn mã theo dõi không nhất thiết phải được chèn sẵn từ lúc cài đặt ứng dụng, nên Exodus nhiều khi không thể phát hiện ra chúng. Trong quá trình cập nhật, các ứng dụng có thể thêm các đoạn mã này vào, biến một ứng dụng trước đó được xem là "sạch" và đã được cấp quyền đầy đủ thành một tên gián điệp đánh cắp dữ liệu của bạn.

Các đoạn mã theo dõi mà YPL phát hiện có khả năng làm rất nhiều thứ. Một trong số chúng là FidZup (ẩn trong ứng dụng Bottin Gourmand và một vài ứng dụng khác) có thể theo dõi vị trí người dùng bằng cách ping thiết bị với tần số siêu âm.

Các ứng dụng tài chính và y học cũng chứa mã theo dõi, cho thấy một vấn đề về quyền riêng tư đã trở nên nghiêm trọng: "Chúng ta không rõ thông tin bị theo dõi cụ thể là gì, nhưng rõ ràng dữ liệu chứa trong các ứng dụng này là cực kỳ nhạy cảm".

Để minh hoạ khả năng "ẩn thân" của các đoạn mã theo dõi, YPL đã tạo ra ứng dụng FaceGrok. Đây là một ứng dụng đơn giản có thể nhận diện khuôn mặt thông qua camera, và nó có chứa hàng tá đoạn mã theo dõi.

YPL cam kết với mọi người muốn thử FaceGrok rằng nó không truyền bất kỳ thông tin nào đi cả, nhưng cho biết "nó có thể làm vậy chỉ bằng một vài thay đổi nhỏ". YPL cũng chỉ ra rằng việc ứng dụng này "lọt sổ" để vào Play Store cho thấy "rất dễ dàng để thêm các đoạn mã theo dõi" và đặt người dùng vào thế nguy hiểm.

Bạn có thể tự bảo vệ mình không?

Với 3/4 số ứng dụng Android đang theo dõi các thông tin về người dùng, bạn sẽ cảm thấy thật khó để bảo vệ các dữ liệu cá nhân của mình, và sự thật là đúng như vậy. Không có cách nào để nhận biết hay chặn các đoạn mã theo dõi ở thời điểm hiện tại, chỉ có thể xoá ứng dụng đó đi mà thôi.

Nếu bạn rành về code thì có thể tạo một phiên bản Exodus để kiểm tra thông qua mã nguồn được chia sẻ miễn phí trên GitHub.

Bên cạnh đó, người dùng Apple cũng chưa hẳn là an toàn. YPL cho biết nhiều công ty sản xuất các đoạn mã theo dõi tự quảng cáo là có thể hoạt động xuyên nền tảng, tức là chúng có thể được mang lên iOS. YPL nhấn mạnh rằng hiện chưa thể phát hiện các đoạn mã theo dõi trong các ứng dụng trên Apple App Store, nhưng nhiều khả năng là chúng đang nằm trong đó.

Đây thực sự là một vụ việc đáng báo động. YPL cho rằng người dùng Android "xứng đáng được sử dụng một chuỗi phát triển phần mềm, phân phối và cài đặt mà không có chứa các đoạn mã vô danh tính hoặc xuất phát từ bên thứ ba".

Tấn Minh