Sau vụ nhiều ứng dụng trên Mac App Store bị phát hiện ăn cắp thông tin nhạy cảm của người dùng, mới đây nhóm GuandianApp đứng đằng sau dự án Guardian Mobile Firewall vừa có báo cáo về hiện tượng nhiều ứng dụng iOS lén lút thu thập lịch sử định vị chính xác của người dùng từ khoảng 10 triệu thiết bị di động.
Đáng chú ý là các ứng dụng này sử dụng các đoạn mã được cung cấp bởi các công ty kiếm tiền từ việc thu thập dữ liệu người dùng. Và để có được quyền truy cập dữ liệu vị trí chính xác từ GPS của các thiết bị, những ứng dụng này thường viện một lý do chính đáng liên quan đến ứng dụng trong hộp thoại xin cấp quyền sử dụng dịch vụ vị trí. Tuy nhiên, các ứng dụng này thường rất ít hoặc thậm chí là không đề cập việc các dữ liệu vị trí nhạy cảm của người dùng sẽ được chia sẻ với một bên thứ ba với mục đích không liên quan đến hoạt động của ứng dụng.
Các dữ liệu thường bị thu thập là:
– Dữ liệu Beacon Bluetooth LE
– Kinh độ và vĩ độ GPS
– SSID Wi-Fi (tên mạng Wi-Fi mà người dùng kết nối) và BSSID (địa chỉ MAC của thiết bị)
Một số công ty thậm chí còn thu thập một loạt các thông tin ít nhạy cảm hơn như:
– Thông tin gia tốc kế (trục X, Y và Z)
– Định danh nhận dạng quảng cáo (IDFA)
– Tỷ lệ phần trăm trạng thái của pin (pin hoặc sạc)
– MCC / MNC của mạng di động
– Tên nhà mạng
– Độ cao và/hoặc tốc độ GPS
– Thời gian đi và đến một vị trí định vị
① Nguyên tắc kiểm tra và xác thực mà GuardianApp công khai như sau:
– Thu thập: Lấy mẫu ngẫu nhiên được tiến hành bằng cách sử dụng bảng xếp hạng Top Free cho mỗi danh mục trên App Store, trong đó phần code được quét để xác định có sử dụng mạng, các API đã truy xuất và những thông tin hữu dụng khác chẳng hạn như metadata của app.
– Phân tích: Tìm sự hiện diện của các đoạn code theo dõi vị trí thông qua quá trình giải mã tự động các code thực thi thu thập được trong mỗi ứng dụng, cụ thể là tìm các ứng dụng có chứa các code thông dụng truy xuất vào API CoreLocation và gởi dữ liệu đến server của bên thứ ba.
– Xác thực: Tất cả các ứng dụng trong mục ③ đều được tải xuống từ App Store và sau đó thực thi trên thiết bị iPhone và giám sát lưu lượng mạng bằng công cụ proxy, cho phép nhóm nghiên cứu có thể xác minh dữ liệu chính xác được truyền đến các máy chủ vận hành bởi các công ty kiếm tiền từ dữ liệu. Điều này giúp phát hiện các đoạn code theo dõi hiện hữu trong một số ứng dụng mà quá trình phân tích code tĩnh trực tiếp có thể bỏ sót.
② Danh sách các công ty kiếm tiền từ dữ liệu vị trí:
Đi kèm với danh sách này là tất cả các tên máy chủ đã biết mà các công ty này sử dụng. Người dùng nếu quan tâm có thể chặn kết nối đến những tên miền này để bảo đảm quyền riêng tư của cá nhân.
AreaMetrics
areametrics.com
api.areametrics.comCuebiq
cuebiq.com
in.cuebiq.comFactual
factual.com
et.intake.factual.com
api.factual.comFysical
fysical.com
api.beaconsinspace.comHuq
huq.io
api.huq.ioInMarket
inmarket.com
m2m-api.inmarket.comMobiquity Networks
mobiquitynetworks.com
mobileapi.mobiquitynetworks.comRevealMobile
revealmobile.com
sdk.revealmobile.comSafeGraph
safegraph.com
api.safegraph.comSense 360
sense360.com
incoming-data-sense360.s3.amazonaws.com
ios-quinoa-personal-identify-prod.sense360eng.com
ios-quinoa-events-prod.sense360eng.com
ios-quinoa-high-frequency-events-prod.sense360eng.comTeemo
teemo.co
v1.blueberry.cloud.databerries.comWireless Registry
wirelessregistry.com
pie.wirelessregistry.com
③ Ví dụ về một số ứng dụng bị ảnh hưởng:
Danh sách này chỉ là một số ứng dụng được nhóm nghiên cứu phát hiện bị thu thập lịch sử vị trí của người dùng bằng việc sử dụng các đoạn mã được cung cấp bởi các công ty kiếm tiền từ việc thu thập dữ liệu người dùng. Ngoài ra còn có gần 100 ứng dụng tin tức được xác nhận có kèm code từ RevealMobile.
– ASKfm: Ask Anonymous Questions (fm.ask.askfm)
– C25K 5K Trainer (com.zenlabs.c25kfree)
– Classifieds 2.0 Marketplace (com.orgmentis.buyandsell)
– Code Scanner by ScanLife (com.att.ATTScanner)
– Coupon Sherpa (com.sherpa.couponsherpa)
– GasBuddy (com.gasbuddymobile.gasbuddy)
– Homes.com (com.homes.com.homes)
– Mobiletag (com.yourcompany.Mobiletag)
– Moco – Chat, Meet People (com.mocospace.mocoapp)
– My Aurora Forecast (com.jrustonapps.My-Aurora-Forecast)
– MyRadar NOAA Weather Radar (com.fboweb.MyRadar)
– NOAA Weather Radar (com.apalonapps.radarfree)
– PayByPhone Parking (com.verrus.paybyphone)
– Perfect365 (com.arcsoft.Perfect365)
– Photobucket (com.photobucket.iphone)
– QuakeFeed Earthquake Alerts (com.artisanglobal.quakefeed)
– Roadtrippers (com.roadtrippers.roadtrippersinc)
– ScoutLook Hunting (com.scoutlookweather.slHuntIphoneFree)
– SnipSnap Coupon App (com.snipsnap.snipsnapapp)
– Tapatalk (com.quoord.Tapatalk)
– The Coupons App (thecouponsapp.coupon)
– Tunity (com.austtv.Tunity)
– Weather Live – Local Forecast (com.apalonapps.wlf)
– YouMail: Voicemail Upgrade (RH8QQ5UXC8.youmail.)
Theo GuardianApp
