Hơn 1.000 ứng dụng Android thu thập dữ liệu ngay cả sau khi bạn từ chối quyền.
Các ứng dụng thu thập thông tin như vị trí, ngay cả sau khi chủ sở hữu thiết bị đã hồi đáp câu hỏi là không. Google cho biết một bản sửa lỗi sẽ không xuất hiện cho đến khi Android Q.
Quyền trên ứng dụng Android được dự định là người giữ cửa cho số lượng dữ liệu mà thiết bị của bạn cung cấp. Nếu bạn không muốn một ứng dụng đèn pin có thể đọc qua nhật ký cuộc gọi của mình, bạn sẽ có thể từ chối quyền truy cập đó. Nhưng ngay cả khi bạn nói không, nhiều ứng dụng vẫn tìm ra cách: Các nhà nghiên cứu đã phát hiện ra hơn 1.000 ứng dụng tuân theo các hạn chế , cho phép chúng thu thập dữ liệu định vị địa lý chính xác và số nhận dạng điện thoại sau lưng bạn.
Khám phá nêu bật mức độ khó khăn khi giữ riêng tư trực tuyến, đặc biệt nếu bạn gắn liền với điện thoại và ứng dụng di động . Các công ty công nghệ có hàng núi dữ liệu cá nhân trên hàng triệu người, bao gồm cả nơi họ đã đến, bạn bè của họ và những gì họ quan tâm.
Các nhà lập pháp đang cố gắng đưa ra quy định về quyền riêng tư và các quyền truy cập dữ liệu các nhân của người dùng. Apple và Google đã phát hành các tính năng mới để cải thiện quyền riêng tư của mọi người, nhưng các ứng dụng trên CHPLAY và các App tải về tiếp tục tìm cách ẩn để giải quyết các biện pháp bảo vệ này .
Các nhà nghiên cứu từ Viện Khoa học Máy tính Quốc tế đã tìm thấy tới 1.325 ứng dụng Android đang thu thập dữ liệu từ các thiết bị ngay cả sau khi mọi người từ chối rõ ràng sự cho phép của họ. Serge Egelman, giám đốc nghiên cứu bảo mật và quyền riêng tư có thể sử dụng tại ICSI, đã trình bày nghiên cứu này vào cuối tháng 6 tại PrivacyCon của Ủy ban Thương mại Liên bang .
"Về cơ bản, người tiêu dùng có rất ít công cụ và dấu hiệu mà họ có thể sử dụng để kiểm soát hợp lý quyền riêng tư của họ và đưa ra quyết định về nó," Egelman nói tại hội nghị. "Nếu các nhà phát triển ứng dụng chỉ có thể phá vỡ hệ thống, thì việc xin phép người tiêu dùng là tương đối vô nghĩa."
Egelman cho biết các nhà nghiên cứu đã thông báo cho Google về những vấn đề này vào tháng 9 năm ngoái, cũng như FTC. Google cho biết họ sẽ giải quyết các vấn đề trong Android Q , dự kiến sẽ phát hành trong năm nay.
Bản cập nhật sẽ giải quyết vấn đề bằng cách ẩn thông tin vị trí trong ảnh khỏi các ứng dụng và yêu cầu bất kỳ ứng dụng nào truy cập Wi-Fi cũng phải có quyền đối với dữ liệu vị trí, theo Google.
Nghiên cứu đã xem xét hơn 88.000 ứng dụng từ cửa hàng Google Play, theo dõi cách dữ liệu được truyền từ ứng dụng khi chúng bị từ chối cấp phép. 1.325 ứng dụng vi phạm quyền trên Android đã sử dụng các cách giải quyết được ẩn trong mã của nó để lấy dữ liệu cá nhân từ các nguồn như kết nối Wi-Fi và siêu dữ liệu được lưu trữ trong ảnh.
Các nhà nghiên cứu phát hiện ra rằng Shutoston, một ứng dụng chỉnh sửa ảnh, đã thu thập tọa độ GPS từ ảnh và gửi dữ liệu đó đến máy chủ của chính họ, ngay cả khi người dùng từ chối cấp quyền cho ứng dụng truy cập dữ liệu vị trí. .
Một phát ngôn viên của Shutyh cho biết công ty sẽ chỉ thu thập dữ liệu vị trí với sự cho phép rõ ràng, bất chấp những gì các nhà nghiên cứu tìm thấy.
"Giống như nhiều dịch vụ ảnh, Shutoston sử dụng dữ liệu này để nâng cao trải nghiệm người dùng với các tính năng như phân loại và đề xuất sản phẩm được cá nhân hóa, tất cả đều tuân thủ chính sách bảo mật của Shutoston cũng như thỏa thuận của nhà phát triển Android", công ty cho biết.
Một số ứng dụng dựa vào các ứng dụng khác được cấp quyền xem dữ liệu cá nhân, không cho phép truy cập để thu thập số nhận dạng điện thoại như số IMEI của bạn . Các ứng dụng này sẽ đọc qua các tệp không được bảo vệ trên thẻ SD của thiết bị và thu thập dữ liệu mà chúng không được phép truy cập. Vì vậy, nếu bạn để các ứng dụng khác truy cập dữ liệu cá nhân và chúng lưu trữ nó trong một thư mục trên thẻ SD, các ứng dụng gián điệp này sẽ có thể lấy thông tin đó.
Trong khi chỉ có khoảng 13 ứng dụng làm việc này, chúng đã được cài đặt hơn 17 triệu lần, theo các nhà nghiên cứu. Điều này bao gồm các ứng dụng như ứng dụng công viên Hong Kong Disneyland của Yahoo, các nhà nghiên cứu cho biết.
Baidu và Disney đã không trả lời yêu cầu bình luận.
Các nhà nghiên cứu đã tìm thấy 153 ứng dụng có khả năng đó, bao gồm cả ứng dụng Health và Browser của Samsung , được cài đặt trên hơn 500 triệu thiết bị.
Samsung đã không trả lời yêu cầu bình luận.
Các ứng dụng khác đang thu thập dữ liệu vị trí bằng cách kết nối với mạng Wi-Fi của bạn và tìm ra địa chỉ MAC của bộ định tuyến. Họ đã tìm thấy điều này trên các ứng dụng có chức năng như điều khiển từ xa thông minh, không cần thông tin vị trí của bạn để hoạt động.
Egelman cho biết ông sẽ tiết lộ chi tiết với danh sách 1.325 ứng dụng mà các nhà nghiên cứu phát hiện ra khi ông trình bày nghiên cứu tại hội nghị Usenix Securityvào tháng 8.
Chính vì lý do này để đảm bảo các thông tin dữ liệu quan trọng của mình, bạn không nên để thông tin tài khoản để ở chế độ ghi nhớ, quan sát các ứng dụng chạy ngầm, tắt các ứng dụng chạy ngầm không cần thiết. Thường xuyên cập nhập các bản vá và bản cập nhập của hệ điều hành, sử dụng các phần mềm bảo vệ, diệt virus bản quyền để nhận các khuyến cáo về các phần mềm độc hại.
