Thông thường khi một ứng dụng trên điện thoại Android muốn biết vị trí của bạn thì sẽ có thông báo cho bạn biết về điều này. Nếu bạn đồng ý với thông báo này thì ứng dụng mới được phép theo dõi vị trí của bạn. Tuy nhiên mới đây các chuyên gia nghiên cứu về bảo mật thông báo rằng họ đã tìm thấy hàng ngàn ứng dụng vẫn có thể theo dõi vị trí của bạn ngay cả khi bạn không cấp quyền định vị này.
Các chuyên gia nói rằng các ứng dụng đã lấy quyền quản lý Android theo cách gian lận. Cách thức của các ứng dụng này là sẽ âm thầm gửi mã nhận dạng của điện thoại bao gồm dữ liệu định vị đến máy chủ của chính nó để có được vị trí của người dùng.
Làm thế nào để các ứng dụng này có được dữ liệu định vị? Các nhà nghiên cứu cho biết, mặc dù bạn đã không cấp quyền truy cập định vị với một số ứng dụng nhưng những ứng dụng này có thể yêu cầu thông tin vị trí từ các ứng dụng khác đã được ủy quyền để có được thông tin vị trí. Một số ứng dụng thậm chí còn trực tiếp lấy thông tin vị trí thông qua dữ liệu đã được lưu trữ trong bộ nhớ. Các nhà nghiên cứu cũng chỉ ra rằng điều này xảy ra là do chúng được xây dựng bằng cùng một bộ phát triển phần mềm (SDK). Vì vậy chúng có các quy tắc riêng để chia sẻ thông tin vị trí và có bằng chứng cho thấy chủ sở hữu SDK đã được cấp quyền định vị.
Theo một nghiên cứu được công bố trên PrivacyCon 2019, bộ công cụ phát triển SDK được phát triển bởi một công ty có tên Salmonads trước tiên lưu trữ dữ liệu người dùng cục bộ và sau đó chia sẻ dữ liệu người dùng từ ứng dụng này sang ứng dụng khác.
Ngoài ra, nhóm cũng tìm thấy một số lỗ hổng cho phép ứng dụng gửi một số mã nhận dạng như địa chỉ MAC, điểm truy cập bộ định tuyến (router access point), SSID, v.v. đến máy chủ của họ. Serge Egelman, giám đốc nghiên cứu của Tập đoàn bảo mật thuộc Viện khoa học máy tính quốc tế (ICSI), cho biết tại PrivacyCon rằng những số nhận dạng này là một sự thay thế tốt cho dữ liệu vị trí. Dữ liệu có thể được sử dụng gián tiếp để lấy được thông tin định vị.
Nhóm nghiên cứu đã thông báo cho Google về lỗ hổng này vào tháng 9 năm ngoái và sự cố sẽ được khắc phục trong Android Q. Tuy nhiên, điều này có thể không hữu ích cho hầu hết các thiết bị không có bản cập nhật Android Q. Các nhà nghiên cứu tin rằng Google nên làm nhiều hơn và giới thiệu các bản vá trong các bản cập nhật bảo mật vì nó không chỉ bảo vệ người mua điện thoại mới và bỏ qua người dùng cũ.
Huỳnh Mai Anh Kiệt
