Google đã gỡ bỏ nhiều ứng dụng khỏi Play Store do lén lút thu thập dữ liệu. Một số app bị xóa gồm ứng dụng cầu nguyện, ứng dụng phát hiện bẫy tốc độ trên đường cao tốc, quét mã QR...
Quy mô ảnh hưởng rất lớn
Theo WSJ, ít nhất 60 triệu người đã tải các ứng dụng này. Các app được phát hiện bởi 2 nhà nghiên cứu từ công ty phân tích ứng dụng AppCensus.
Đoạn mã thu thập dữ liệu do một công ty tại Panama có tên Measurement Systems phát triển, bán cho các lập trình viên để chèn vào ứng dụng dưới dạng SDK (Software Development Kit). Nhờ đó, công ty này có thể thu thập dữ liệu trên thiết bị mà người dùng không hay biết.
Nhiều ứng dụng trên Play Store vừa bị gỡ do chứa SDK lén lút thu thập dữ liệu. Ảnh: Bloomberg. |
Serge Egelman, nhà nghiên cứu tại Viện Khoa học Máy tính Quốc tế và Đại học California, Berkeley (Mỹ) cho biết SDK viết bởi các công ty ít tên tuổi như Measurement Systems thường không được phát hiện hoặc theo dõi. Nhà phát triển có thể kiếm từ 100-10.000 USD khi chèn SDK của Measurement Systems vào app tùy lượng người dùng.
Cùng với Egelman, Joel Reardon, nhà nghiên cứu bảo mật của Đại học Calgary (Canada) đã gửi danh sách app độc hại cho Ủy ban Thương mại Liên bang Mỹ (FTC) và Google từ tháng 3, khiến chúng bị gỡ khỏi Play Store từ ngày 25/3. Tuy nhiên, FTC từ chối bình luận việc điều tra các app này.
Egelman và Reardon cho biết đây là SDK xâm phạm nhiều quyền riêng tư nhất mà họ từng phân tích. Về lý thuyết, các ứng dụng vẫn có thể gửi dữ liệu về Measurement Systems nếu được cài trên điện thoại dù không còn tồn tại trên Play Store. Tuy nhiên, 2 nhà phân tích ghi nhận SDK đã ngừng thu thập dữ liệu và ngắt kết nối sau khi bài nghiên cứu được đăng tải công khai.
Parfield, nhà phát triển của Al Moazin, một ứng dụng cầu nguyện tại Ai Cập nói rằng khi được mời gắn SDK vào app, Measurement Systems cho biết công ty thu thập dữ liệu thay mặt các nhà mạng, tập đoàn tài chính và năng lượng.
Họ muốn lấy dữ liệu từ người dùng tại khu vực Trung Đông, Trung Âu, Đông Âu và châu Á. Tuy nhiên theo WSJ, đó là yêu cầu bất thường bởi dữ liệu từ Mỹ và Tây Âu thường có giá trị cao hơn. Một số nhà phát triển còn phải ký các thỏa thuận không tiết lộ thông tin ra ngoài.
Người trong cuộc phủ nhận
SDK của Measurement Systems thu thập các dữ liệu như vị trí GPS, thông tin nhận dạng cá nhân như email và số điện thoại, dữ liệu máy tính và thiết bị di động lân cận. Việc thu thập dữ liệu khá phổ biến, nhưng không bao gồm email và số điện thoại bởi có thể vi phạm luật bảo mật thông tin.
SDK cũng có thể thu thập các thông tin trong clipboard khi tính năng cắt dán nội dung được sử dụng, cũng như quét một số file trong điện thoại.
Các ứng dụng gửi dữ liệu về công ty tại Panama có tên Measurement Systems. Ảnh: Victoria Lappas. |
Theo Reardon, việc thu thập các dữ liệu như GPS, mã nhận dạng cá nhân rất nguy hiểm bởi có thể giúp các công ty theo dõi vị trí người dùng bằng cách tra cứu email và số điện thoại. Tên miền web của Measurement Systems được đăng ký năm 2013 bởi Vostrom Holdings, doanh nghiệp có trụ sở tại Virginia, hợp tác với một số cơ quan tại Mỹ liên quan đến tình báo và an ninh mạng thông qua công ty con có tên Packet Forensics.
Trong email gửi đến WSJ, Measurement Systems phủ nhận mọi cáo buộc về hoạt động thu thập dữ liệu và mối quan hệ với các cơ quan an ninh tại Mỹ.
"Những cáo buộc từ bạn về hoạt động của công ty là sai sự thật. Ngoài ra, chúng tôi không biết gì về mối quan hệ giữa công ty với đối tác quốc phòng của Mỹ, cũng không biết về công ty có tên Vostrom. Chúng tôi cũng không có thông tin về Packet Forensics và mối liên quan của nó đến công ty của chúng tôi", đại diện Measurement Systems cho biết.
Trước đây, Bộ Quốc phòng Mỹ thừa nhận mua lượng lớn dữ liệu có nguồn gốc để phân tích các mối đe dọa với an ninh quốc gia, nhưng không tiết lộ tên các công ty bán thông tin.