Trên 1300 ứng dụng Android có thể đánh cắp dữ liệu trên điện thoại người dùng dù bị chặn quyền

Điện thoại thông minh là mỏ vàng của dữ liệu nhạy cảm khi các ứng dụng hiện đại hoạt động như các máy đào liên tục thu thập mọi thông tin có thể từ thiết bị của bạn.

Mô hình bảo mật của các hệ điều hành di động hiện đại, như Android và iOS, chủ yếu dựa trên các quyền xác định rõ ràng dịch vụ nhạy cảm nào, khả năng của thiết bị hoặc thông tin người dùng mà ứng dụng có thể truy cập, cho phép người dùng quyết định ứng dụng nào có thể truy cập.

Tuy nhiên, phát hiện mới của một nhóm các nhà nghiên cứu tại Viện Khoa học Máy tính Quốc tế ở California tiết lộ rằng các nhà phát triển ứng dụng di động đang sử dụng các kỹ thuật mờ ám để thu thập dữ liệu của người dùng ngay cả sau khi họ từ chối cấp phép.

Trong bài nói chuyện ” 50 cách để đổ dữ liệu của bạn ” tại PrivacyCon do Ủy ban thương mại liên bang tổ chức vào thứ Năm tuần trước, các nhà nghiên cứu đã trình bày những phát hiện của họ cho thấy hơn 1.300 ứng dụng Android đang thu thập dữ liệu định vị chính xác của người dùng và số nhận dạng điện thoại ngay cả khi chủ sở hữu đã từ chối một cách rõ ràng các quyền cần thiết.

“Các ứng dụng có thể phá vỡ mô hình cấp phép và có quyền truy cập vào dữ liệu được bảo vệ mà không cần sự đồng ý của người dùng bằng cách sử dụng cả kênh bí mật và kênh phụ”, các nhà nghiên cứu viết.”Các kênh này xảy ra khi có một phương tiện thay thế để truy cập tài nguyên được bảo vệ mà không được kiểm toán bởi cơ chế bảo mật, do đó khiến tài nguyên không được bảo vệ.”


Các nhà nghiên cứu đã nghiên cứu hơn 88.000 ứng dụng từ cửa hàng Google Play, 1.325 trong số đó được phát hiện vi phạm các hệ thống cấp phép trong hệ điều hành Android bằng cách sử dụng các cách giải quyết ẩn cho phép họ tìm kiếm dữ liệu cá nhân của người dùng từ các nguồn như siêu dữ liệu được lưu trữ trong ảnh và Wi-Fi kết nối.

Dữ liệu vị trí – Chẳng hạn, các nhà nghiên cứu đã tìm thấy một ứng dụng chỉnh sửa ảnh, được gọi là Shutyh, thu thập dữ liệu vị trí của thiết bị bằng cách trích xuất tọa độ GPS từ siêu dữ liệu của ảnh, dưới dạng kênh phụ, ngay cả khi người dùng từ chối cấp quyền cho ứng dụng truy cập dữ liệu vị trí.

“Chúng tôi đã quan sát thấy ứng dụng Shutyh (com.shutoston) gửi dữ liệu định vị địa lý chính xác đến máy chủ của chính nó (apcmobile.thislife.com) mà không cần được cấp quyền.”

Hơn nữa, cần lưu ý rằng nếu một ứng dụng có thể truy cập vị trí của người dùng, thì tất cả các dịch vụ của bên thứ ba được nhúng trong ứng dụng đó cũng có thể truy cập ứng dụng đó.

Số nhận dạng điện thoại – Bên cạnh đó, các nhà nghiên cứu đã tìm thấy 13 ứng dụng khác với hơn 17 triệu cài đặt đang truy cập IMEI của điện thoại, một số nhận dạng điện thoại liên tục, được lưu trữ không được bảo vệ trên thẻ SD của điện thoại bởi các ứng dụng khác.

“Android bảo vệ quyền truy cập vào IMEI của điện thoại với quyền READ_PHONE_STATE. Chúng tôi đã xác định hai dịch vụ trực tuyến của bên thứ ba sử dụng các kênh bí mật khác nhau để truy cập IMEI khi ứng dụng không có quyền truy cập IMEI.”

Theo các nhà nghiên cứu, các thư viện bên thứ ba được cung cấp bởi hai công ty Trung Quốc, Baidu và Salmonads cũng đang sử dụng kỹ thuật này như một kênh bí mật để thu thập dữ liệu mà họ không được phép truy cập.

Địa chỉ Mac – Các ứng dụng khác được tìm thấy bằng địa chỉ MAC của điểm truy cập Wi-Fi để tìm ra vị trí của người dùng. Các ứng dụng hoạt động như điều khiển từ xa thông minh, nếu không cần thông tin vị trí để hoạt động, đã được tìm thấy thu thập dữ liệu vị trí theo cách này.

“Chúng tôi đã phát hiện ra các công ty nhận địa chỉ MAC của các trạm gốc Wi-Fi được kết nối từ bộ đệm ARP. Điều này có thể được sử dụng làm thay thế cho dữ liệu vị trí. Chúng tôi đã tìm thấy 5 ứng dụng khai thác lỗ hổng này và 5 với mã thích hợp để làm như vậy”. các nhà nghiên cứu đã viết.”Ngoài ra, việc biết địa chỉ MAC của bộ định tuyến cho phép một người liên kết các thiết bị khác có chung quyền truy cập Internet, điều này có thể tiết lộ quan hệ cá nhân của chủ sở hữu tương ứng hoặc cho phép theo dõi thiết bị chéo.”

Trong nghiên cứu của họ, các nhà nghiên cứu đã thử nghiệm thành công các ứng dụng này trên các phiên bản cụ thể của Android Marshmallow và Android Pie.

Các nhà nghiên cứu đã báo cáo phát hiện của họ cho Google vào tháng 9 năm ngoái và công ty đã trả cho nhóm của anh ta một khoản tiền thưởng lỗi để tiết lộ một cách có trách nhiệm các vấn đề, nhưng thật không may, các bản sửa lỗi sẽ được tung ra với việc phát hành Android Q, dự kiến ​​vào cuối mùa hè này.

Bản cập nhật Android Q sẽ giải quyết các vấn đề bằng cách ẩn dữ liệu vị trí trong ảnh khỏi các ứng dụng của bên thứ ba cũng như bắt buộc các ứng dụng truy cập Wi-Fi phải có quyền truy cập dữ liệu vị trí.

Cho đến lúc đó, người dùng được khuyên không nên tin tưởng các ứng dụng của bên thứ ba và tắt cài đặt cấp phép vị trí và ID cho các ứng dụng không thực sự cần chúng để hoạt động. Ngoài ra, gỡ cài đặt bất kỳ ứng dụng nào bạn không thường xuyên sử dụng.

bình luận

Leave a Comment