Các ứng dụng Android sẽ theo dõi bạn, ngay cả khi bạn “ép chúng dừng”

  • Hưng Dương
  • Tháng Hai 21, 2019
  • Chức năng bình luận bị tắt ở Các ứng dụng Android sẽ theo dõi bạn, ngay cả khi bạn “ép chúng dừng”
Phần lớn các ứng dụng android đang theo dõi người dùng

Có khả năng phá vỡ các quy tắc của Google, các nhà quảng cáo đang thu thập thông tin có thể giúp họ bỏ qua tính năng bảo mật của Android.

Một số ứng dụng có thể theo dõi hoạt động của bạn theo thời gian, ngay cả khi bạn bảo chúng quên đi lịch sử trước đó của bạn. Và không thể làm gì để thay đổi được điều đó.

Khoảng 17.000 thiết bị Android ứng dụng thu thập thông tin nhận dạng tạo bản ghi hoạt động vĩnh viễn trên thiết bị của bạn, theo nghiên cứu từ Viện Khoa học Máy tính Quốc tế. Việc thu thập dữ liệu dường như vi phạm chính sách của gã khổng lồ tìm kiếm về việc thu thập dữ liệu có thể được sử dụng để nhắm mục tiêu người dùng cho quảng cáo trong hầu hết các trường hợp, các nhà nghiên cứu cho biết.

Các ứng dụng có thể theo dõi bạn bằng cách liên kết ID quảng cáo của bạn – một số duy nhất nhưng có thể đặt lại được sử dụng để điều chỉnh quảng cáo – với các số nhận dạng khác trên điện thoại của bạn khó hoặc không thể thay đổi. Các ID đó là chữ ký duy nhất của thiết bị: địa chỉ MAC, IMEI và Android ID. Chưa đến một phần ba số ứng dụng thu thập số nhận dạng chỉ lấy ID quảng cáo, như được đề xuất bởi lời khuyên dùng tốt nhất của Google cho các nhà phát triển.

“Quyền riêng tư biến mất” khi các ứng dụng thu thập những định danh liên tục đó, Serge Egelman, người đứng đầu nghiên cứu cho biết. Ông cho biết nhóm của ông, trong đó báo cáo những phát hiện cho Google vào tháng 9, đã quan sát thấy hầu hết các ứng dụng gửi thông tin nhận dạng đến các dịch vụ quảng cáo, vi phạm rõ ràng các chính sách của Google.

Chính sách của công ty cho phép nhà phát triển thu thập số, nhận dạng nhưng cấm họ kết hợp ID quảng cáo với ID phần cứng mà không có sự đồng ý rõ ràng của người dùng hoặc sử dụng số nhận dạng không thể đặt lại để nhắm mục tiêu quảng cáo. Hơn nữa, các thực tiễn tốt nhất của Google dành cho nhà phát triển khuyên bạn chỉ nên thu thập ID quảng cáo.

Hành vi này phù hợp với lịch sử lâu dài của ngành công nghiệp công nghệ tạo ra các biện pháp bảo mật mà các nhà phát triển ứng dụng và trang web nhanh chóng học được để vượt qua. Adobe đã bị buộc phải giải quyết các cookie Flash vào năm 2011 sau khi có khiếu nại rằng các đoạn phần mềm có thể tồn tại trong trình duyệt web của bạn ngay cả sau khi bạn xóa tất cả các cookie của bạn.Khiếu nại tương tự đã phát sinh trong năm 2014 qua. Việc sử dụng cái gọi là “siêu máy tính ” của Verizon và AT & T đã theo dõi người dùng giữa nhiều thiết bị và không thể bị xóa. Vào năm 2012, Microsoft bị cáo buộc Google phá vỡ nó. Tiêu chuẩn bảo mật web P3P, cho phép người dùng trình duyệt Internet Explorer đặt tùy chọn của họ cho cookie. (Google phản bác rằng tiêu chuẩn đó không còn hữu ích nữa).

Dữ liệu được thu thập bởi các ứng dụng di động đã kích hoạt sự giám sát thậm chí rộng hơn vì sự bùng nổ của điện thoại thông minh và máy tính bảng. Trong tháng Một, Facebook và Google, cả hai đều bị phát hiện đã sử dụng một công cụ dành cho nhà phát triển phá vỡ quy tắc bảo mật của Apple và xây dựng ứng dụng thu thập thông tin người dùng. Vụ bê bối của Facebook tại Cambridge Analytica vào năm 2018 và các tranh cãi về quyền riêng tư khác đã làm dấy lên sự xem xét kỹ lưỡng hơn về cách dữ liệu được thu thập và sử dụng.

Đội của Egelman, mà trước đây tìm thấy khoảng 6.000 ứng dụng cho trẻ em. Các ứng dụng bao gồm Angry Birds Classic, trò chơi điện thoại thông minh phổ biến, cũng như Audiobook của Audible và Flipboard. Clean Master, Battery Doctor và Cheetah Keyboard, tất cả các tiện ích được phát triển bởi Cheetah Mobile, cũng được tìm thấy để gửi thông tin vĩnh viễn đến các mạng quảng cáo.

Tất cả các ứng dụng này đã được cài đặt trên ít nhất 100 triệu thiết bị. Clean Master, một tiện ích điện thoại bao gồm các dịch vụ chống vi-rút và tối ưu hóa điện thoại, đã được cài đặt trên 1 tỷ thiết bị.

Google đang làm gì về điều đó

Google cho biết họ đã điều tra báo cáo của Egelman và đã thực hiện trên một số ứng dụng. Google từ chối cho biết có bao nhiêu ứng dụng đã hoạt động hoặc hành động nào được thực hiện. Công ty cũng từ chối xác định chính sách nào mà ứng dụng đã vi phạm. Công ty cho biết các chính sách của họ cho phép thu thập số nhận dạng phần cứng và ID Android cho một số mục đích, như phát hiện gian lận, nhưng không nhắm mục tiêu quảng cáo.

Google cũng cho biết họ chỉ có thể thực thi các chính sách của mình khi ứng dụng Android gửi số nhận dạng đến các mạng quảng cáo của riêng Google, chẳng hạn như AdMob.Nếu các ứng dụng gửi dữ liệu ra các mạng bên ngoài, Google cho biết họ không thể giám sát chúng để biết các vi phạm.

“Chúng tôi rất coi trọng những vấn đề này”, một phát ngôn viên của Google cho biết trong một tuyên bố. “Việc kết hợp ID quảng cáo với số nhận dạng thiết bị cho mục đích cá nhân hóa quảng cáo đều bị nghiêm cấm. Chúng tôi liên tục xem xét các ứng dụng – bao gồm cả những ứng dụng được liệt kê trong báo cáo của nhà nghiên cứu – và sẽ hành động khi chúng không tuân thủ chính sách của chúng tôi.”

Google có một số sáng kiến nhằm bảo vệ quyền riêng tư và bảo mật của người dùng. Trong một bài đăng trên blog vào thứ Tư, công ty cho biết nó đã tăng số lượng ứng dụng lạm dụng nó đã chặn từ kho ứng dụng Google Play lưu trữ 55 phần trăm trong năm 2018.

Đại diện của Rovio, công ty phát triển loạt Angry Birds và Audible, đã không trả lời các yêu cầu bình luận.

Người phát ngôn của Cheetah Mobile cho biết trong email rằng các ứng dụng của họ gửi ID Android của thiết bị tới một công ty giúp họ theo dõi việc cài đặt các sản phẩm của mình.Thông tin không được sử dụng cho quảng cáo được nhắm mục tiêu và công ty tuân thủ tất cả các chính sách và luật pháp có liên quan của Google, người phát ngôn nói.

Flipboard cho biết họ không sử dụng Android ID để nhắm mục tiêu quảng cáo.

Bộ sưu tập dữ liệu được xác định bởi Egelman và nhóm của anh ta tương tự như một vấn đề khiến Uber gặp rắc rối với Appletrong năm 2015.Theo tờ New York Times, Giám đốc điều hành Apple Tim Cook đã rất tức giận khi biết rằng Uber đã thu thập số nhận dạng phần cứng của người dùng iOS chống lại chính sách của Apple và đe dọa sẽ xóa ứng dụng Uber khỏi App Store.

Nhóm của Egelman đã thử nghiệm các ứng dụng khi chúng chạy trên Android 6 hoặc Marshmallow. Chỉ hơn một nửa số thiết bị Android chạy Android 6 hoặc phiên bản cũ hơn của hệ thống, theo Google phân tích từ tháng Mười. Các nhà nghiên cứu cấu hình phiên bản Android cho phép họ theo dõi những định danh nào một ứng dụng được thu thập và sau đó chạy hàng ngàn ứng dụng trên phần mềm được sửa đổi.

Egelman cho biết việc thay đổi ID quảng cáo của bạn sẽ phục vụ cùng chức năng như xóa dữ liệu duyệt web của bạn. Khi bạn xóa cookie, các trang web bạn đã truy cập trong quá khứ sẽ không nhận ra bạn. Điều đó ngăn họ xây dựng dữ liệu về bạn theo thời gian.

Nhưng bạn không thể đặt lại các định danh khác, như địa chỉ MAC và IMEI. Địa chỉ MAC là một định danh duy nhất mà thiết bị của bạn phát tới các kết nối internet như bộ định tuyến Wi-Fi. IMEI là một định danh cho thiết bị cụ thể của bạn. Cả hai số nhận dạng đôi khi có thể được sử dụng để ngăn chặn điện thoại bị đánh cắp truy cập vào mạng di động. ID Android là một mã định danh khác duy nhất cho mỗi thiết bị. Nó có thể được đặt lại, nhưng chỉ khi bạn chạy khôi phục cài đặt gốc cho thiết bị của mình.

Sandy Bilus, một luật sư về quyền riêng tư và an ninh mạng tại Saul Ewing Arnstein & Lehr, cho biết các ứng dụng có thể vi phạm Quy định bảo vệ dữ liệu chung, luật của Liên minh châu Âu yêu cầu các tổ chức cho người dùng biết dữ liệu họ thu thập trên đó, nếu họ từ chối phát biểu về những gì họ đang thu thập của người dùng EU.

“Nó chắc chắn có thể làm tăng các vấn đề GDPR,” Bilus nói. “Các nhà phát triển ứng dụng đang thu thập và sử dụng dữ liệu này nên cẩn thận về điều đó.”

Lorrie Faith Cranor, giám đốc Phòng thí nghiệm bảo mật và quyền riêng tư có thể sử dụng CyLab tại Đại học Carnegie Mellon, cho biết Google đang ở vị trí tốt nhất để trấn áp các ứng dụng sử dụng số nhận dạng phần cứng và ID Android theo cách vi phạm chính sách của chính họ.

Việc các nhà phát triển đang tạo ra cách giải quyết cho ID quảng cáo cho thấy nhiều người đang đặt lại mã định danh, Cranor nói, ngay cả khi hầu hết người dùng không biết về tính năng bảo mật.