[Android] Phát hiện hơn 1.300 ứng dụng thu thập dữ liệu người dùng NGAY CẢ KHI không được cấp quyền

Nhằm hỗ trợ và đồng hành cùng doanh nghiệp đẩy lùi hậu quả của đại dịch Covid-19, CyStack hỗ trợ: miễn phí 3 tháng bảo mật website & server với phần mềm Cloud Security. > Đăng ký ngay.

lo-hong-bypass-Android

Các nhà nghiên cứu mới đây đã tiết lộ hơn 1300 ứng dụng Android đang ngấm ngầm thu thập dữ liệu nhạy cảm ngay cả khi người dùng từ chối cấp quyền truy cập cho những ứng dụng này.

Điện thoại thông minh thực sự là mỏ vàng chứa các dữ liệu nhạy cảm và các ứng dụng hiện đại hoạt động như các máy đào liên tục thu thập mọi thông tin có thể từ thiết bị của người dùng.

Mô hình bảo mật của các hệ điều hành di động phổ biến hiện nay như Android hay iOS chủ yếu dựa trên quyền cấp phép của người dùng. Tại đó các ứng dụng có thể truy cập vào các dịch vụ nhạy cảm, khả năng của thiết bị hay thông tin người dùng hay không hoàn toàn phụ thuộc vào sự cho phép của người sử dụng.

Các nhà phát triển ứng dụng đang bí mật thu thập dữ liệu người dùng

Tuy nhiên, một nhóm các nhà nghiên cứu tại Viện Khoa học Máy tính Quốc tế ở California mới đây đã tiết lộ một sự thật gây chấn động khi công bố thông tin các nhà phát triển ứng dụng di động đang sử dụng các kỹ thuật mờ ám để thu thập dữ liệu của người dùng ngay cả khi họ từ chối cấp phép truy cập.

Trong bài nói chuyện “50 cách để rò rỉ dữ liệu của bạn” [PDF] tại PrivacyCon do Ủy ban thương mại liên bang tổ chức vào thứ Năm tuần trước, các nhà nghiên cứu đã trình bày những phát hiện của họ cho thấy hơn 1.300 ứng dụng Android đang thu thập dữ liệu định vị chính xác và số nhận dạng điện thoại của người dùng ngay cả khi họ đã từ chối cấp quyền truy cập một cách rõ ràng.

Các ứng dụng có thể phá vỡ mô hình cấp phép và có quyền truy cập vào dữ liệu được bảo vệ mà không cần sự đồng ý của người dùng bằng cách sử dụng các kênh bí mật (covert channel) và các kênh phụ (side channel).

Các nhà nghiên cứu đã phân tích hơn 88.000 ứng dụng từ cửa hàng Google Play, phát hiện tới 1.325 ứng dụng đang vi phạm các hệ thống cấp phép trong hệ điều hành Android bằng cách sử dụng các workaround ẩn cho phép tìm kiếm các dữ liệu cá nhân của người dùng từ các nguồn chẳng hạn như siêu dữ liệu (metadata) được lưu trữ trong ảnh và các kết nối Wi-Fi.

Thu thập thông tin Dữ liệu vị trí thiết bị của người dùng

Dữ liệu vị trí (Location Data) – Chẳng hạn, các nhà nghiên cứu đã tìm thấy một ứng dụng chỉnh sửa ảnh, được gọi là Shutoston hiện đang thu thập dữ liệu vị trí của thiết bị bằng cách trích xuất tọa độ GPS từ metadata của ảnh dưới dạng kênh phụ (side-channel) ngay cả khi người dùng từ chối cấp quyền cho ứng dụng này truy cập vào dữ liệu vị trí.

Hơn nữa, cần lưu ý rằng nếu một ứng dụng có thể truy cập vị trí của người dùng thì cũng đồng nghĩa với việc tất cả các dịch vụ của bên thứ ba được nhúng trong ứng dụng đó cũng có thể truy cập nguồn dữ liệu này.

Thu thập thông tin số nhận dạng điện thoại

Số nhận dạng điện thoại (Phone Identifier) – Bên cạnh đó, các nhà nghiên cứu đã tìm thấy 13 ứng dụng khác với hơn 17 triệu cài đặt hiện đang truy cập số IMEI của điện thoại – số nhận dạng không được bảo vệ lưu trữ trên thẻ SD của điện thoại bởi các ứng dụng khác.

Android bảo vệ quyền truy cập vào IMEI của điện thoại với quyền READ_PHONE_STATE. Các nhà nghiên cứu đã phát hiện ra hai dịch vụ trực tuyến của bên thứ ba sử dụng các kênh bí mật khác nhau để truy cập IMEI khi ứng dụng không được người dùng cấp quyền cần thiết để truy cập.

Theo các nhà nghiên cứu, các third-party libraries  được cung cấp bởi hai công ty Trung Quốc, Baidu và Salmonads cũng đang sử dụng kỹ thuật này như một kênh bí mật để thu thập những dữ liệu nhạy cảm mà họ vốn không được cấp quyền truy cập.

Thu thập địa chỉ Mac của các điểm truy cập Wi-Fi

Địa chỉ Mac – nhiều ứng dụng khác đang sử dụng địa chỉ Mac của các điểm truy cập Wi-Fi để tìm ra vị trí của người dùng. Việc thu thập dữ liệu vị trí theo cách này được áp dụng đối với các ứng dụng có chức năng điều khiển từ xa thông minh mà thông thường không cần thông tin vị trí hoạt động.

Các nhà nghiên cứu cho biết các công ty nhận địa chỉ MAC của các trạm gốc Wi-Fi được kết nối từ bộ đệm ARP để sử dụng thay thế cho các dữ liệu vị trí. Các nhà nghiên cứu cũng đã tìm thấy 5 ứng dụng khai thác lỗ hổng này và 5 ứng dụng khác với mã thích hợp để thực hiện các hành động khai thác thu thập dữ liệu kể trên.

Bên cạnh đó, việc biết địa chỉ MAC của bộ định tuyến cho phép một người có khả năng liên kết với các thiết bị khác có chung quyền truy cập Internet. Điều này có thể tiết lộ các mối quan hệ cá nhân của chủ sở hữu tương ứng hoặc cho phép theo dõi chéo thiết bị (cross-device tracking).

Các nhà nghiên cứu cũng đã thử nghiệm khai thác thành công các lỗ hổng tồn tại trong các ứng dụng này trên các phiên bản cụ thể của Android Marshmallow và Android Pie.

Google vẫn chưa phát hành bản vá cho các lỗ hổng trên Android

Các nhà nghiên cứu cũng đã sớm báo cáo những phát hiện của mình cho Google vào tháng 9 năm ngoái, đồng thời nhận về một khoản tiền thưởng từ phía công ty nằm trong khuôn khổ chương trình tiền thưởng lỗi của Google.

Tuy nhiên, người dùng vẫn sẽ phải chờ đợi tới tận cuối mùa hè năm nay để nhận được bản sửa lỗi cho những lỗ hổng này trong đợt phát hành phiên bản Android Q sắp tới.

Bản cập nhật Android Q sẽ giải quyết các vấn đề kể trên bằng cách ẩn các dữ liệu vị trí trong ảnh (photo) khỏi các ứng dụng của bên thứ ba cũng như bắt buộc các ứng dụng truy cập Wi-Fi phải được cấp phép thì mới có quyền truy cập các dữ liệu vị trí.

Cho đến lúc đó, người dùng được khuyến cáo không nên tin tưởng bất cứ ứng dụng nào của các bên thứ ba, đồng thời tắt toàn bộ cài đặt cấp phép vị trí và ID cho các ứng dụng không cần thiết. Bên cạnh đó, người dùng cũng được khuyên nên gỡ bỏ cài đặt của các ứng dụng không cần sử dụng thường xuyên.  

THN