Thứ 6, 22/11/2024, 18:12[GMT+7]

Google gỡ ứng dụng thu thập dữ liệu quá mức từ người dùng

Chủ nhật, 10/04/2022 | 10:28:56
1,305 lượt xem
Ứng dụng này có thể thu thập thông tin mật khẩu từ điện thoại, nếu người dùng sử dụng tính năng sao chép/dán hoặc dữ liệu được tải xuống từ WhatsApp.

Measurement Systems S. de R.L., công ty có trụ sở tại Panama tạo ra SDK này, có liên hệ với một nhà thầu quốc phòng thực hiện hợp đồng tình báo mạng, phòng vệ mạng và thu thập dữ liệu cho các cơ quan an ninh quốc gia của Mỹ. 

2 nhà nghiên cứu Serge Egelman (Đại học California, Berkeley) và Joel Reardon (Đại học Calgary) đã phát hiện SDK của Measurement Systems trong một số ứng dụng cầu nguyện cho người Hồi giáo, một ứng dụng phát hiện “bẫy tốc độ” trên đường cao tốc, một ứng dụng đọc mã QR và nhiều ứng dụng thương mại khác trên Android, với tổng cộng ít nhất hơn 10 triệu tải.

Measurement Systems trả tiền cho các nhà phát triển ứng dụng Android để đưa SDK của mình vào ứng dụng, nhờ đó bí mật thu thập lượng lớn dữ liệu của người dùng. Với việc chấp nhận đề nghị của Measurement Systems, các nhà phát triển có thể vừa có thêm dòng thu nhập vừa có thêm dữ liệu từ người dùng ứng dụng của mình.  

Báo cáo của 2 nhà nghiên cứu đã được trình lên Ủy ban Thương mại Liên bang Mỹ (FTC), Google và The Wall Street Journal. Google sau đó đã điều tra SDK này và gỡ các ứng dụng chứa SDK của Measurement Systems khỏi Google Play. Theo đại diện của Google, các ứng dụng này có thể được trở lại Google Play nếu bỏ SDK thu thập dữ liệu bí mật; một số ứng dụng đã quay trở lại.

Việc Google gỡ bỏ các ứng dụng không ảnh hưởng đến SDK của Measurement Systems trên hàng chục triệu điện thoại Android. Tuy nhiên, 2 nhà nghiên cứu Egelman và Reardon cũng phát hiện rằng SDK này đã dừng thu thập dữ liệu chỉ một thời gian ngắn sau khi thông tin được công bố.

Theo tài liệu được The Wall Street Journal xem xét, Measurement Systems nói với bên phát triển ứng dụng rằng công ty này muốn dữ liệu chủ yếu từ người dùng Trung Đông, Trung Âu, Đông Âu và châu Á. Dữ liệu được thu thập bao gồm địa điểm chính xác, địa chỉ email, số điện thoại và dữ liệu về máy tính và thiết bị sử dụng mạng gần đó.

SDK của Measurement Systems cũng có thể thu thập thông tin trên clipboard của điện thoại, chẳng hạn như mật khẩu, nếu người dùng sử dụng tính năng sao chép và dán. Thêm vào đó, SDK này còn có thể quét một số phần của hệ thống lưu trữ file trong điện thoại, bao gồm file nằm trong thư mục tải xuống của WhatsApp. 

The Wall Street Journal cho rằng Measurement Systems gián tiếp liên hệ với chính phủ Mỹ thông qua một công ty tên Vostrom Holdings. Vostrom hợp tác với chính phủ liên bang Mỹ thông qua một công ty con là Packet Forensics, đồng thời có liên quan đến một cố vấn về an ninh mạng cho chính phủ tên Rodney Joffe. Measurement Systems bác bỏ cáo buộc liên hệ với chính phủ Mỹ, Vostrom và Packet Forensics.

Bộ Quốc phòng Mỹ và nhiều cơ quan an ninh quốc gia của Mỹ đã công khai việc mua dữ liệu từ các nhà cung ứng thương mại nhằm phục vụ công tác phân tích nguy cơ an ninh quốc gia. Thị trường dữ liệu thu thập từ ứng dụng điện thoại, đặc biệt là dữ liệu vị trí, đã tăng trưởng mạnh mẽ để đáp ứng nhu cầu như vậy từ cả các chính phủ và doanh nghiệp. 

Theo 24h.com.vn