Theo trang tin công nghệ Cnet, các nhà nghiên cứu đã phát hiện ra hơn 1.000 ứng dụng mặc dù bị người dùng từ chối cấp phép thu thập dữ liệu song chúng vẫn thu thập dữ liệu định vị địa lý chính xác và số nhận dạng điện thoại sau lưng người dùng.
Các nhà nghiên cứu từ Viện Khoa học Máy tính Quốc tế (ICSI) ở California (Mỹ) đã tìm thấy tới 1.325 ứng dụng Android đang thu thập dữ liệu từ các thiết bị ngay cả sau khi mọi người từ chối rõ ràng việc thu thập dữ liệu.
Phát hiện trên nêu bật mức độ khó khăn khi giữ riêng tư trực tuyến, đặc biệt nếu người dùng gắn liền với điện thoại và ứng dụng di động. Các công ty công nghệ có hàng núi dữ liệu cá nhân của hàng triệu người, bao gồm cả nơi họ đã đến, bạn bè và những gì họ quan tâm.
Các nhà nghiên cứu của ICSI đã thông báo cho Google về những vấn đề này vào tháng 9 năm ngoái, cũng như Ủy ban Thương mại Liên bang Mỹ (FTC). Google cho biết họ sẽ giải quyết các vấn đề trong phiên bản hệ điều hành Android Q, dự kiến sẽ phát hành trong năm nay.
[Google ra công cụ bảo mật trình duyệt để hạn chế theo dõi trực tuyến]
Theo Google, bản cập nhật sẽ giải quyết vấn đề bằng cách ẩn thông tin vị trí trong các bức ảnh khỏi các ứng dụng và yêu cầu bất kỳ ứng dụng nào truy cập Wi-Fi cũng phải nhận được quyền cho phép của người dùng đối với dữ liệu vị trí.
Các nhà nghiên cứu đã xem xét hơn 88.000 ứng dụng từ cửa hàng Google Play, theo dõi cách dữ liệu được truyền từ ứng dụng khi chúng bị từ chối cấp phép. 1.325 ứng dụng vi phạm quyền trên Android đã sử dụng các cách giải quyết được ẩn trong mã nguồn của chúng để lấy dữ liệu cá nhân từ các nguồn như kết nối Wi-Fi và siêu dữ liệu được lưu trữ trong các bức ảnh.
Các nhà nghiên cứu phát hiện ra rằng Shutoston, một ứng dụng chỉnh sửa ảnh, đã thu thập tọa độ GPS từ các bức ảnh và gửi dữ liệu đó đến máy chủ của chính ứng dụng này, ngay cả khi người dùng từ chối cấp quyền cho ứng dụng truy cập dữ liệu vị trí.
Một số ứng dụng dựa vào các ứng dụng khác được cấp quyền xem dữ liệu cá nhân, không cho phép truy cập để thu thập số nhận dạng điện thoại như số IMEI.
Các ứng dụng này sẽ đọc qua các tệp không được bảo vệ trên thẻ SD của thiết bị và thu thập dữ liệu mà chúng không được phép truy cập. Vì vậy, nếu người dùng để các ứng dụng khác truy cập dữ liệu cá nhân và chúng lưu trữ những dữ liệu trong một thư mục trên thẻ SD, các ứng dụng gián điệp này sẽ có thể lấy những thông tin đó.
Các ứng dụng khác đang thu thập dữ liệu vị trí bằng cách kết nối với mạng Wi-Fi của người dùng và tìm ra địa chỉ MAC của bộ định tuyến. Các nhà nghiên cứu đã tìm thấy điều này trên các ứng dụng có chức năng như điều khiển từ xa thông minh, không cần thông tin vị trí của người dùng để hoạt động.
ICSI dự định sẽ tiết lộ chi tiết danh sách 1.325 ứng dụng mà các nhà nghiên cứu phát hiện ra tại hội nghị Usenix Security vào tháng 8 tới./.