Hàng chục ứng dụng iPhone đã cho bên thứ ba sử dụng trái phép dữ liệu vị trí người dùng

Posted by

Một nhóm các nhà nghiên cứu bảo mật cho biết hàng chục ứng dụng iPhone phổ biến đang lặng lẽ chia sẻ dữ liệu vị trí của hàng chục triệu thiết bị di động cho các công ty lưu hành tiền tệ (bên thứ ba).

Hầu như tất cả các ứng dụng iPhone này đều yêu cầu truy cập vào dữ liệu vị trí của người dùng để hoạt động bình thường, như các ứng dụng về thời tiết hay sức khoẻ, nhưng chính việc chia sẻ dữ liệu thường xuyên này là 1 cách để tạo ra doanh thu cho các ứng dụng miễn phí trên App Store.

“Tôi tin rằng mọi người đều sử dụng bất kỳ ứng dụng nào họ muốn trên điện thoại của mình mà không lo lắng rằng liệu mình đã cấp quyền truy cập cho bên thứ ba vào các dữ liệu cá nhân của mình hay chưa. Đó chính là lý do khiến dữ liệu của họ đã bị âm thầm gửi đến một số tổ chức hay cá nhân mà họ không hề hay biết và cũng không có bất kỳ mong muốn làm việc cùng” – Will Strafach, một trong những nhà nghiên cứu của GuardianApp cho biết.

Sử dụng các công cụ để giám sát mạng, các nhà nghiên cứu tìm thấy 24 ứng dụng iPhone phổ biến đang thu thập dữ liệu vị trí người dùng – qua Bluetooth hay mạng Wi-Fi – để biết được một người đang ở đâu và họ đến những đâu. Những công ty kiếm tiền nhờ dữ liệu cũng thu thập dữ liệu thiết bị khác bằng gia tốc kế, tình trạng sạc pin và tên nhà mạng di động.

Những công ty này sẽ trả cho nhà phát triển ứng dụng đã giúp họ thu thập dữ liệu và sẽ thường xuyên cung cấp các dịch vụ quảng cáo dựa trên lịch sử vị trí của một người.

Sau đây sẽ là tên một vài ứng dụng đã vi phạm:

ASKfm , một ứng dụng hỏi đáp ẩn danh dành cho thanh thiếu niên, có 1.400 rating trên Apple App Store và có tới hàng chục triệu người sử dụng. Ứng dụng yêu cầu quyền truy cập vào vị trí của người dùng và bảo đảm rằng “sẽ không chia sẻ với bất cứ ai.” Tuy nhiên, ứng dụng này đã gửi dữ liệu vị trí cho 2 công ty dữ liệu, AreaMetrics và Huq. Nhà sản xuất ứng dụng đã cho biết họ tin rằng việc thu thập vị trí “Là phù hợp với tiêu chuẩn công nghiệp hiện nay, và người dùng của chúng tôi đã chấp thuận các điều khoản đó”.

NOAA Weather Radar – Ứng dụng có hơn 266.000 rating và có hàng triệu lượt tải về. Việc truy cập vị trí được sử dụng để cung cấp thông tin thời tiết tại địa phương. Nhưng một phiên bản trước đó của ứng dụng này đã bị phát hiện gửi dữ liệu vị trí trái phép cho ba công ty, Factual, Sense360Teemo. Phiên bản này sau đó đã được gỡ bỏ. Phát ngôn viên cho Apalon, công ty đã thiết kế ứng dụng này, cho biết họ chỉ “tiến hành thử nghiệm phần mềm trong ngắn hạn” đầu năm nay.

Homes.com – một ứng dụng phổ biến yêu cầu vị trí của người dùng để giúp tìm nhà ở trong khu vực xung quanh. Homes.com đã gửi dữ liệu tọa độ người dùng tới AreaMetrics. Nhưng các nhà sản xuất ứng dụng cho biết ứng dụng chỉ sử dụng AreaMetrics trong một thời gian ngắn vào năm ngoái. Họ cũng cho biết đã ngừng hợp tác với AreaMetrics.

Perfect365 – một ứng dụng chỉnh sửa làm đẹp với hơn 100 triệu người sử dụng, yêu cầu dữ liệu vị trí để “giúp cho bạn nổi bật hơn dựa theo khu vực bạn sinh sống” (do tiêu chuẩn vẻ đẹp ở mỗi nền văn hoá lại khác nhau). Trong chính sách bảo mật được đưa ra, NSX đã khẳng định dữ liệu vị trí sẽ không được sử dụng trái phép. Tuy nhiên, thực tế là, phiên bản ứng dụng hiện tại chứa mã cho tám công ty lưu hành tiền tệ thu thập dữ liệu vị trí người dùng. Đứng trước bê bối, NSX ứng dụng vẫn chưa phản hồi lại về bất cứ điều gì.

Vẫn còn rất nhiều ứng dụng nữa mà các NSX đang cố ý thu thập dữ liệu vị trí gửi cho các bên thứ 3 để qua đó cùng nhau “hưởng hoa hồng”. Nó sẽ nhanh chóng trở thành nguồn thu béo bở cho các nhà phát triển ứng dụng và các công ty lưu hành tiền tệ, dữ liệu vị trí bị thu thập có thể lên tới hàng tỷ địa điểm mỗi ngày.

Để bảo vệ quyền riêng tư, Will Strafach cho biết người dùng có thể hạn chế theo dõi các thông báo trong mục cài đặt bảo mật iPhone của các ứng dụng yêu cầu quyền truy cập vị trí, điều này làm cho các tracker khó khăn hơn để xác định vị trí người dùng.

Apple sẽ thực hiện cuộc điều tra và sẽ thực hiện loại bỏ bất cứ ứng dụng nào thực hiện sai chính sách bảo mật trong tháng tới. Tuy nhiên phần lớn người đọc chưa thể tiếp cận được thông tin này, họ vẫn chủ quan và chính họ bị thiệt nhất khi thông tin của mình bị lợi dụng. Trong khi, thật khó để mong đợi các NSX ứng dụng sẽ thay đổi hành vi của mình một sớm một chiều.