Điện thoại thông minh có chứa nhiều dữ liệu nhạy cảm, nên ứng dụng trên điện thoại liên tục tìm cách thu thập các dữ liệu này từ người dùng. Mô hình đảm bảo an toàn của các hệ điều hành di động hiện đại như Android và iOS chủ yếu dựa trên hệ thống cấp quyền, từ đó xác định rõ một ứng dụng có thể có quyền truy cập vào những dịch vụ, tính năng của thiết bị hoặc thông tin nào của người dùng.
Tuy nhiên, phát hiện mới của nhóm các nhà nghiên cứu thuộc Viện Khoa học Máy tính Quốc tế (California) đã tiết lộ rằng, các nhà phát triển ứng dụng di động đang sử dụng kỹ thuật ẩn mình để thu thập dữ liệu của người dùng ngay cả sau khi người dùng đã từ chối cấp quyền truy cập những dữ liệu này.
Trong bài phát biểu tại hội thảo PrivacyCon do Ủy ban Thương mại Liên bang (Federal Trade Commission) Mỹ tổ chức gần đây, các nhà nghiên cứu đã trình bày những phát hiện của họ và nhấn mạnh rằng, hơn 1.300 ứng dụng Android đang thu thập dữ liệu định vị địa lý và mã nhận dạng điện thoại của người dùng ngay cả khi người dùng đã từ chối cấp quyền truy cập.
“Các ứng dụng có thể phá vỡ mô hình cấp quyền và giành quyền truy cập vào dữ liệu được bảo vệ mà không cần sự đồng ý của người dùng, bằng cách sử dụng cả kênh bí mật và kênh kề”, các nhà nghiên cứu cho biết. Các kênh này hoạt động bằng một cách khác để truy cập vào tài nguyên được bảo vệ mà cơ chế bảo mật không kiểm soát.
Các nhà nghiên cứu đã xem xét hơn 88.000 ứng dụng từ cửa hàng Google Play, trong đó 1.325 ứng dụng đã bị phát hiện vi phạm hệ thống cấp quyền trong hệ điều hành Android vì sử dụng các kỹ thuật ngầm, cho phép tìm kiếm dữ liệu cá nhân của người dùng từ các nguồn như siêu dữ liệu lưu trữ trong thư mục ảnh và kết nối Wifi. Cụ thể:
Thu thập dữ liệu vị trí
Các nhà nghiên cứu đã tìm thấy một ứng dụng chỉnh sửa ảnh có tên Shutterfly. Ứng dụng này thu thập dữ liệu vị trí của thiết bị bằng cách trích xuất tọa độ GPS từ siêu dữ liệu của ảnh dưới dạng kênh kề, ngay cả khi người dùng từ chối cấp quyền cho ứng dụng truy cập dữ liệu vị trí. Các nhà nghiên cứu đã quan sát thấy ứng dụng Shutterfly gửi dữ liệu định vị địa lý chính xác đến máy chủ của nó (apcmobile.thislife.com) mà không cần quyền truy cập dữ liệu vị trí.
Hơn nữa, cần lưu ý rằng nếu một ứng dụng có thể truy cập vị trí của người dùng, thì tất cả các dịch vụ của bên thứ ba được nhúng trong ứng dụng đó cũng có thể truy cập dữ liệu này.
Mã nhận dạng điện thoại
Bên cạnh đó, các nhà nghiên cứu đã tìm thấy 13 ứng dụng khác với hơn 17 triệu lượt cài đặt đã truy cập vào số nhận dạng điện thoại IMEI, được lưu trữ trên thẻ SD của điện thoại bởi các ứng dụng khác.
Hệ điều hành Android bảo vệ quyền truy cập vào số IMEI của điện thoại với quyền READ_PHONE_STATE. Các nhà nghiên cứu đã phát hiện được 02 dịch vụ trực tuyến của bên thứ ba đã sử dụng các kênh bí mật khác nhau để truy cập vào số IMEI, trong khi ứng dụng đó không được cấp quyền truy cập vào số này.
Theo các nhà nghiên cứu, các thư viện bên thứ ba được cung cấp bởi 02 công ty Trung Quốc là Baidu và Salmonads cũng đang sử dụng kỹ thuật này như một kênh bí mật để thu thập dữ liệu mà họ không được phép truy cập.
Địa chỉ MAC của Wifi
Nhiều ứng dụng có chức năng điều khiển từ xa thông minh bị phát hiện sử dụng địa chỉ MAC của điểm truy cập Wifi để tìm ra vị trí của người dùng. Về bản chất, các ứng dụng này hoạt động không cần thông tin vị trí, nhưng lại âm thầm thu thập dữ liệu vị trí của người dùng.
Bằng cách truy cập địa chỉ MAC của các trạm phát Wifi từ bộ đệm ARP, dữ liệu này có thể được sử dụng để thay thế cho dữ liệu vị trí. Ngoài ra, việc biết địa chỉ MAC của bộ định tuyến cho phép có thể liên kết đến các thiết bị khác nhau có cùng một điểm truy cập Internet. Điều này có thể tiết lộ những thông tin nhạy cảm liên hệ đến chủ sở hữu của thiết bị hoặc cho phép theo dõi chéo các thiết bị trong cùng mạng lưới.
Các nhà nghiên cứu đã kiểm tra các ứng dụng này trên phiên bản Android Marshmallow và Android Pie. Họ đã báo cáo phát hiện của mình cho Google vào tháng 9/2018. Google đã trả cho nhóm một khoản tiền thưởng, nhưng bản vá sẽ chỉ được phát hành cùng với cập nhật Android Q sau đó. Bản cập nhật Android Q sẽ giải quyết các lỗ hổng này bằng cách ẩn dữ liệu vị trí trong ảnh, tránh khỏi các ứng dụng của bên thứ ba, cũng như buộc các ứng dụng truy cập Wifi phải có quyền truy cập dữ liệu vị trí.
Cho đến lúc đó, người dùng được khuyến nghị không nên tin tưởng các ứng dụng của bên thứ ba và tắt cài đặt cấp quyền truy cập vị trí và ID cho các ứng dụng không thực sự cần chúng để hoạt động. Ngoài ra, cần gỡ cài đặt các ứng dụng mà người dùng không thường xuyên sử dụng.
Nguyễn Anh Tuấn
The Hacker News
16:00 | 26/08/2019
14:00 | 13/09/2019
14:00 | 03/07/2020
09:00 | 26/08/2019
08:00 | 26/07/2019
16:00 | 17/12/2020
11:00 | 17/06/2019
10:00 | 22/04/2024
Trong một xu hướng đáng lo ngại được Bitdefender Labs (Hoa Kỳ) phát hiện gần đây, tin tặc đang tận dụng sự quan tâm ngày càng tăng đối với AI để phát tán các phần mềm độc hại tinh vi. Những kẻ tấn công này đang tung ra các chiến dịch quảng cáo độc hại trên mạng xã hội, giả dạng các dịch vụ AI phổ biến như Midjourney, DALL-E và ChatGPT để đánh lừa người dùng.
10:00 | 29/03/2024
Một dịch vụ lừa đảo mới có tên là Darcula sử dụng 20.000 tên miền để giả mạo thương hiệu và đánh cắp thông tin xác thực từ người dùng Android và iPhone tại hơn 100 quốc gia thông qua iMessage.
07:00 | 11/03/2024
Mới đây, các nhà nghiên cứu của hãng bảo mật Kaspersky (Nga) đã phát hiện một Trojan ngân hàng tinh vi mới đánh cắp thông tin tài chính nhạy cảm có tên là Coyote, mục tiêu là người dùng của hơn 60 tổ chức ngân hàng, chủ yếu từ Brazil. Điều chú ý là chuỗi lây nhiễm phức tạp của Coyote sử dụng nhiều kỹ thuật tiên tiến khác nhau, khiến nó khác biệt với các trường hợp lây nhiễm Trojan ngân hàng trước đó. Phần mềm độc hại này sử dụng trình cài đặt Squirrel để phân phối, tận dụng NodeJS và ngôn ngữ lập trình đa nền tảng tương đối mới có tên Nim làm trình tải (loader) trong chuỗi lây nhiễm. Bài viết này sẽ phân tích hoạt động và khám phá khả năng của Trojan ngân hàng này.
13:00 | 26/02/2024
Tin tặc Nga có thể có liên quan đến cuộc tấn công mạng lớn nhất nhằm vào cơ sở hạ tầng quan trọng của Đan Mạch, 22 công ty liên quan đến hoạt động của ngành năng lượng của nước này đã bị nhắm mục tiêu vào tháng 5/2023.
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024