Ít nhất 60 triệu người cài ứng dụng Android thu thập dữ liệu trái phép

Theo Thời báo Phố Wall, các ứng dụng bị gỡ khỏi Google Play do chứa yếu tố bí mật khai thác dữ liệu người dùng.

 

Tác giả của đoạn code khai thác dữ liệu là Measurement Systems S. de R.L. Theo hồ sơ doanh nghiệp và đăng ký web, công ty này có liên quan tới một nhà thầu quốc phòng tại Virginia (Mỹ), chuyên về tình báo mạng, phòng thủ mạng và đánh chặn tình báo.

{keywords}
(Ảnh: Bloomberg)

Đoạn code chạy trên hàng triệu thiết bị Android và có mặt trong vài ứng dụng cầu nguyện với lượt tải hơn 10 triệu. Ngoài ra, nó còn nhúng trong các phần mềm như phát hiện máy bắn tốc độ trên cao tốc, đọc mã QR hay thời tiết. Tổng cộng, các ứng dụng đã được tải trên tối thiểu 60 triệu thiết bị. Hai nhà nghiên cứu Serge Egelman và Joel Reardon đã chia sẻ phát hiện với Google, nhà chức trách liên bang và Thời báo Phố Wall.

Measurement Systems trả tiền cho các nhà phát triển khắp thế giới để nhúng đoạn mã – hay SDK – vào ứng dụng của họ. Nó cho phép công ty bí mật thu thập dữ liệu người dùng. Theo ông Egelman, chèn SDK vào ứng dụng sẽ giúp nhà phát triển có thêm thu nhập cũng như dữ liệu chi tiết về người dùng của họ. Tài liệu của Thời báo Phố Wall cho thấy mỗi nhà phát triển có thể kiếm được từ 100 tới 10.000 USD mỗi tháng hoặc hơn, tùy thuộc vào số lượng người dùng hoạt động.

Hai chuyên gia nhận xét đây là SDK xâm phạm quyền riêng tư nhiều nhất họ từng ghi nhận trong 6 năm làm công việc phân tích ứng dụng di động, có thể xem là mã độc mà không cần do dự.

Người phát ngôn Google cho biết các ứng dụng chứa phần mềm của Measurement Systems đã bị xóa tính đến ngày 25/3. Chúng được quay trở lại nếu gỡ bỏ đoạn code theo dõi. Tuy nhiên, việc gỡ bỏ khỏi Google Play không ảnh hưởng gì đến khả năng thu thập từ hàng triệu điện thoại đã cài đặt chúng. Tuy nhiên, SDK đã ngừng thu thập dữ liệu người dùng sau khi hai chuyên gia bắt đầu công bố phát hiện.

Báo cáo chỉ ra đoạn code có khả năng xác định sự tồn tại của các thiết bị khác (cũng dùng ứng dụng chứa đoạn code) đang kết nối cùng mạng Wi-Fi, về cơ bản cung cấp một cách để lập bản đồ mạng lưới. Measurement Systems báo cho các nhà phát triển ứng dụng rằng họ muốn dữ liệu chủ yếu từ Trung Đông, Trung và Đông Âu, châu Á. Một số còn được yêu cầu ký thỏa thuận không tiết lộ.

SDK khai thác lượng lớn dữ liệu, bao gồm vị trí chính xác, định danh cá nhân (email, số điện thoại), dữ liệu về máy tính và điện thoại di động lân cận. Nó cũng có thể thu thập thông tin lưu trong clipboard điện thoại như mật khẩu mỗi khi người dùng sử dụng tính năng copy paste. Thậm chí, nó còn quét được một vài phần trong hệ thống tập tin thiết bị như các tập tin lưu trong thư mục tải xuống của WhatsApp.

Du Lam (Theo WSJ)

Hacker giả cơ quan hành pháp, lừa Apple, Meta gửi dữ liệu người dùng

Hacker giả cơ quan hành pháp, lừa Apple, Meta gửi dữ liệu người dùng

Theo nguồn tin của Bloomberg, Apple và Meta – công ty mẹ Facebook – đã cung cấp dữ liệu khách hàng cho hacker giả danh nhà hành pháp.  

Nghề ‘siêu hot’ bất chấp sóng thần sa thải công nghệ

Ngành này vẫn đang thiếu tới hơn 700.000 nhân sự và luôn trong trạng thái ‘tìm người’.

Chung tay "làm sạch" không gian mạng

Các chuyên gia cho rằng, nếu không quyết liệt làm sạch không gian mạng, đẩy lùi vấn nạn lừa đảo online đang ngày càng nở rộ, rất có thể nhiều người dân sẽ e ngại khi hoạt động trên không gian mạng.

Tội phạm mạng lợi dụng sự cả tin và lòng tham của con người để lừa đảo

Dù có khá nhiều biện pháp công nghệ đã được thực hiện, tội phạm mạng vẫn lừa đảo thành công do sự cả tin và lòng tham của con người.

"TikToker Hưng baba được Nhà nước vinh danh" là thông tin sai sự thật

Trước việc người dùng chia sẻ thông tin sai sự thật về TikToker “Hưng baba” được vinh danh, Sở TT&TT Hải Phòng đã yêu cầu ông Hưng kiểm soát nội dung bình luận, chia sẻ trên mạng.

Cảnh báo 13 lỗ hổng mới có thể bị hacker lợi dụng tấn công hệ thống tại Việt Nam

Cục An toàn thông tin (Bộ TT&TT) vừa cảnh báo các cơ quan, tổ chức, doanh nghiệp về 13 lỗ hổng bảo mật mức cao và nghiêm trọng trong sản phẩm Microsoft. Để tránh bị khai thác, tấn công mạng, các đơn vị cần rà soát và cập nhật ngay bản vá.

Thờ ơ với kiến thức bảo mật

Nhiều người ít quan tâm đến kiến thức bảo mật trong khi việc nâng cao nhận thức cho toàn dân cần nỗ lực lớn, dẫn đến tình trạng lừa đảo trực tuyến vẫn thường xuyên diễn ra.

Mở hệ thống thi thử “Học sinh với An toàn thông tin 2023” từ giữa tháng 2

Năm 2023 là năm thứ 2 cuộc thi “Học sinh với An toàn thông tin” được tổ chức nhằm trang bị các kiến thức, kỹ năng giúp trẻ em biết tự bảo vệ mình khi tham gia môi trường mạng.

Gần 1.800 điểm yếu, lỗ hổng bảo mật tồn tại trong hệ thống của cơ quan nhà nước

Nhận định số điểm yếu, lỗ hổng trên là rất lớn, Cục An toàn thông tin đã chỉ đạo Trung tâm Giám sát an toàn không gian mạng quốc gia xác định những lỗ hổng nguy hiểm, ảnh hưởng diện rộng và hướng dẫn các bộ, ngành khắc phục.

Cận Tết, cuộc gọi rác và tin nhắn lừa đảo tấn công người dùng Việt

Liên tục nhận tin nhắn lừa tới website giả mạo, bị làm phiền bởi cuộc gọi quảng cáo mời chào game cờ bạc,... người dùng di động không khỏi bất bình.

AWS ‘trình làng’ dịch vụ hồ dữ liệu bảo mật

Amazon Web Services (AWS) vừa ra mắt Amazon Security Lake - dịch vụ tự động tập trung dữ liệu bảo mật từ nguồn đám mây và tại chỗ vào một hồ dữ liệu chuyên biệt trong tài khoản AWS, giúp khai thác dữ liệu bảo mật nhanh, hiệu quả hơn.

Đang cập nhật dữ liệu !