Có thể cho rằng, hầu hết các ứng dụng di động đang thu thập dữ liệu người dùng. Một số ứng dụng thậm chí còn kiếm tiền từ dữ liệu của người dùng, đây là điều mà hãng truyền thông TechCrunch đã công bố hồi tháng 9 năm 2018. Tuy nhiên, tệ hại hơn, TechCrunch vừa phát hiện, nhiều ứng dụng trên iPhone của các công ty lớn, từ khách sạn, trang web du lịch, hãng hàng không, hãng mạng di động cho tới các ngân hàng, tổ chức tài chính thậm chí còn biết chính xác người dùng đang sử dụng ứng dụng của họ như thế nào. Hơn thế, những ứng dụng này còn vô tình để lộ thông tin nhạy cảm như mật khẩu hay số thẻ tín dụng của người dùng.
Các ứng dụng đó sử dụng Glassbox, một dịch vụ phân tích trải nghiệm người dùng. Đây là dịch vụ mà một trong số nhiều công ty cho phép các lập trình viên nhúng công nghệ “phát lại phiên” (session replay) vào ứng dụng. Công nghệ này ghi lại màn hình của thiết bị rồi “phát lại”, từ đó biết được người dùng tương tác với ứng dụng như thế nào, tìm ra các vướng mắc của người dùng hay lỗi ứng dụng. Mọi thao tác nhấn phím đều được ghi lại và gửi cho các lập trình viên ứng dụng. Không ứng dụng nào thông báo cho người dùng biết đang ghi lại màn hình của họ trong chính sách quyền riêng tư, điều này hoàn toàn vi phạm các quy định của App Store. Hơn nữa, Apple còn yêu cầu các ứng dụng thực hiện việc ghi lại màn hình phải có một biểu tượng nhỏ màu đỏ ở góc trên bên trái màn hình để người dùng biết màn hình đang được ghi lại, tuy nhiên các ứng dụng này không có như vậy.
Ngoài Glassbox, có thể kể tới một loạt các công ty như Appsee đang tích cực quảng cáo về công nghệ ghi lại người dùng, cho phép lập trình viên xem xét ứng dụng qua con mắt của người dùng. Trong khi đó, UXCam cho biết có thể cho phép lập trình viên “xem các phiên làm việc của người dùng, bao gồm tất cả các thao tác và sự kiện”. Hầu hết những hành vi này diễn ra một cách âm thầm cho tới khi dịch vụ phân tích hành vi người dùng Mixpanel thu thập nhầm cả mật khẩu của người dùng khi chức năng mặt nạ bảo vệ bị lỗi. Vấn đề ghi lại màn hình ảnh hưởng đến cả người dùng Android vì công nghệ của Glassbox cũng có trên hệ điều hành này.
Một chuyên gia về ứng dụng di động có biệt danh trực tuyến là App Analyst đã phát hiện ra, ứng dụng trên iPhone của Air Canada không che dữ liệu đúng cách cho các phiên làm việc được ghi lại và gửi đi, làm lộ số hộ chiếu và dữ liệu thẻ tín dụng của người dùng. Trước đó vài tuần, Air Canada cho biết, ứng dụng của họ đã bị lộ lọt dữ liệu của 20 ngàn người dùng. Điều đó cho phép nhân viên của Air Canada và bất kỳ ai truy cập được vào cơ sở dữ liệu ghi lại màn hình có thể nhìn thấy số thẻ tín dụng và mật khẩu của người dùng. Đó là vì các trường quan trọng đã được che giấu nhưng lại không được che giấu trong tất cả các trường hợp.
App Analyst đã sử dụng Charles Proxy, một công cụ người-đứng-giữa để chặn bắt và xem xét dữ liệu được gửi từ các ứng dụng di động. Ông cho rằng, Hollister và Abercrombie & Fitch đã gửi dữ liệu ghi lại phiên làm việc của người dùng cho Glassbox, trong khi các công ty khác như Expedia và Hotels.com gửi những thông tin đó về máy chủ sử dụng tên miền của họ. Các dữ liệu hầu như đã được che giấu những thông tin quan trọng, nhưng lại nhìn thấy địa chỉ thư điện tử và mã bưu điện trong một số trường hợp. Nhà nghiên cứu cho biết, Singapore Airlines cũng thu thập dữ liệu ghi lại phiên làm việc nhưng sau đó gửi lại lên đám mây của Glassbox.
Nếu không có phân tích của các chuyên gia, thì người dùng không thể biết màn hình trong ứng dụng đang bị ghi lại. Trong chính sách về quyền riêng tư của các công ty đó cũng không đề cập đến điều này. Khi được hỏi, Abercrombie trả lời rằng, Glassbox giúp hỗ trợ một trải nghiệm mua sắm liền mạch, cho phép công ty xác định và giải quyết các vấn đề mà khách hàng có thể gặp phải. Chính sách về quyền riêng tư của Abercrombie và Hollister đều không đề cập đến việc ghi lại màn hình của người dùng. Singapore Airlines trả lời bằng thư điện tử, nói rằng những dữ liệu họ thu thập tuân theo chính sách về quyền riêng tư của công ty, trong đó bao gồm việc sử dụng dữ liệu khách hàng cho việc kiểm thử và sửa lỗi và được chỉ ra trong Điều 3 của chính sách về quyền riêng tư của hãng. Tuy nhiên, khi kiểm tra lại, điều này có vẻ không chính xác.
Theo App Analyst, người dùng có thể chặn việc ghi lại màn hình ứng dụng di động của Air Canada bằng cách chặn các kết nối tới địa chỉ glassbox.aircanada.ca, thông qua việc thiết lập DNS của bộ định tuyến.
Nguyễn Anh Tuấn
Tổng hợp
14:00 | 18/02/2019
08:00 | 30/01/2019
15:00 | 25/12/2018
14:00 | 22/08/2024
Các máy chủ của Microchip Technology, nhà cung ứng chip quan trọng cho ngành công nghiệp quốc phòng Mỹ đã bị tấn công, buộc công ty này phải tạm ngừng một số hệ thống và giảm quy mô hoạt động.
10:00 | 23/07/2024
Ngày 19/7, dịch vụ đám mây Azure, Microsoft 365 và Teams của Microsoft gặp trục trặc khiến hàng nghìn chuyến bay trên toàn cầu bị hoãn, hủy và gây gián đoạn hoạt động tại nhiều sân bay. Nguyên nhân vấn đề được cho là xuất phát từ lỗi trong hệ thống của Công ty an ninh mạng toàn cầu CrowdStrike (Mỹ) - đối tác của Microsoft. Đây được coi là sự cố lớn nhất trong lịch sử với mức độ ảnh hưởng sâu rộng từ giao thông vận tải, ngân hàng đến an ninh, y tế...
08:00 | 22/05/2024
Các nhà nghiên cứu đã cảnh báo về một phần mềm gián điệp có tên Cuckoo trên hệ thống MacOS của Apple. Cuckoo có thể tồn tại lâu dài trên các máy tính mục tiêu và hoạt động như một phần mềm gián điệp, có khả năng thu thập thông tin từ các máy chủ đã bị nhiễm.
09:00 | 21/05/2024
Hơn 50% trong số 90.310 máy chủ được phát hiện đang triển khai dịch vụ Tinyproxy trên Internet dễ bị tấn công bởi một lỗ hổng bảo mật nghiêm trọng chưa được vá trong công cụ proxy HTTP/HTTPS.
Trong vòng 6 tháng đầu năm 2024, các nạn nhân của mã độc tống tiền (ransomware) trên toàn cầu đã phải chi trả một con số khổng lồ lên tới 459,8 triệu USD cho tội phạm mạng, dự báo một kỷ lục đáng sợ mới về thiệt hại do ransomware gây ra trong năm nay. Bất chấp các nỗ lực của cơ quan chức năng, các băng nhóm tội phạm vẫn tiếp tục lộng hành, nhắm vào những mục tiêu lớn hơn, gây ra những cuộc tấn công quy mô với mức tiền chuộc ngày càng tăng chóng mặt.
08:00 | 26/08/2024