Phần mềm thu thập thông tin người dùng: Phát hiện thế nào?

Phần mềm Pitu giúp người dùng hóa thân thành các nhân vật trong Tam Quốc được cộng đồng Facebook hồ hởi đón nhận từ Tết Nguyên đán đến nay.

Không phải lần đầu

Phần mềm Pitu do công ty Internet nổi tiếng của Trung Quốc - Tencent phát triển. Trong phiên bản trước, Pitu đã từng gây sốt với trào lưu hóa trang thành Võ Tắc Thiên (một nhân vật trong lịch sử Trung Quốc). Tuy nhiên, nhiều người dùng tỏ ra không hài lòng khi ứng dụng đòi hỏi truy cập quá nhiều thông tin không cần thiết.

Khi cài thử qua Play Store, ngoài camera, phần mềm đòi truy xuất thông tin cả về vị trí địa lý, lịch sử ứng dụng, trình duyệt, bookmark, số điện thoại, ID máy...

Đây không phải là trường hợp đầu tiên mà các ứng dụng đến từ các công ty Trung Quốc có hành vi tương tự.

Hồi tháng 1 vừa qua, ứng dụng cũng có tính năng hóa trang có tên Meitu cũng thu thập quá sâu thông tin người dùng.

Cảnh báo nói rằng, các dữ liệu như địa chỉ MAC, IMEI, SIM ICCID, ảnh gốc và nhiều hơn nữa… được cho là đã bị Meitu thu thập và chuyển đến một máy chủ không xác định ở Trung Quốc.

Mặc dù phát ngôn viên của Meitu cho biết, ứng dụng Meitu trên Android chỉ yêu cầu những điều khoản tương tự như những gì mà người dùng sẽ tìm thấy với các ứng dụng chỉnh sửa ảnh phổ biến khác. Trong khi đó, ứng dụng trên iOS chỉ yêu cầu quyền nằm trong nguyên tắc phát triển và các điều khoản từ Apple.

Tuy nhiên, Jonathan Zdziarski, một chuyên gia bảo mật đã phát hiện những dòng mã đáng ngờ trong ứng dụng Meitu dành cho hệ điều hành iOS. Thậm chí, ông tin rằng những thông tin người dùng mà Meitu thu thập sẽ được bán lại cho các công ty có nhu cầu quảng cáo sản phẩm.

Cách đây hơn 1 năm (tháng 10/2015) hơn 250 ứng dụng trên App Store sử dụng nền tảng hỗ trợ quảng cáo của một công ty Trung Quốc cũng đã bị gỡ khỏi kho ứng dụng này. Các ứng dụng đều sử dụng bộ phát triển phần mềm của Youmi với khả năng vượt qua API bảo mật của Apple.

Theo hãng bảo mật SourceDNA, các ứng dụng này ghi lại bao gồm địa chỉ thư điện tử của người dùng, số serial của chiếc điện thoại sử dụng. Tới nay tổng số lượt tải của các ứng dụng này đã đạt 1 triệu lượt tải. Đồng nghĩa với có khoảng gần 1 triệu thiết bị đã bị sao chép thông tin.

Tất cả các ứng dụng này đều được phát triển trên SDK của công ty Youmi có trụ sở tại Trung Quốc. Theo Apple: “Công ty này đã vi phạm các quy định về bảo mật và quyền riêng tư của Apple. Chúng tôi tin rằng các nhà phát triển ứng dụng không nhận ra các điều này khi ứng dụng của họ chỉ âm thầm gửi dữ liệu vào máy chủ Youmi. Chúng tôi cũng khuyến cáo các nhà phát triển chỉ sử dụng SDK chính thức của Apple.”

Hiện nay các chuyên gia bảo mật vẫn chưa giải thích được tại sao công ty này có thể khai thác các thông tin của người dùng lâu như vậy. Thế nhưng một giả thiết được đặt ra là công ty quảng cáo này đã có những dòng lệnh tác động đến vùng dữ liệu bị hạn chế trên thiết bị. Bình thường chỉ có Apple có khả năng đọc các thông tin này.

Nhận biết app giả mạo

So với kho ứng dụng Play Store (hệ điều hành Android), ứng dụng trên App Store (iPhone, iPad) được kiểm soát khắt khe hơn. Tuy nhiên, không phải vì thế mà không có các ứng dụng giả mạo hay lừa đảo trên kho ứng dụng này.

Để nhận biết App giả thì bạn hãy kiểm tra các thông tin sau:

Ai là người phát hành ứng dụng, với lý do bản quyền và sự rà soát có thể thì các App giả chỉ có thể lấy tên gần giống chứ không hoàn toàn giống, hãy chú ý sự thay đổi trong các tên quen thuộc.

Chú ý đến ngày xuất bản của App, nếu như ngày xuất bản của một ứng dụng quen thuộc nhưng lại cách thời điểm hiện tại ngắn, từ vài tuần thì đó có thể là App giả, bởi ứng dụng thật sẽ là ngày cập nhật chứ không phải ngày xuất bản.

Bạn cũng có thể xem các bình luận bên dưới, App giả là App chặn hoặc không có bình luận.

Ngoài ra, các vấn đề như lỗi chính tả trong phần mô tả, tiêu đề, các lỗi này thường rất dễ gặp ở ứng dụng giả mạo, đặc biệt là các ứng dụng Trung Quốc giả mạo tiếng Anh thì lỗi khá dễ bắt gặp.

Bạn cũng đừng nên bị dụ bởi các ứng dụng có mức giảm giá hấp dẫn hoặc các ứng dụng quảng cáo đột ngột xuất hiện. Nếu bạn nghi ngờ thì bạn hãy vào web công ty để mua sắm và lấy đúng mã của công ty hoặc tải app trực tiếp từ web chính thống.

Trên đây chỉ là một số mách nhỏ để bạn kiểm soát kho ứng dụng của mình, nhưng không phải lúc nào cũng chính xác 100% bởi ứng dụng giả mạo ngày càng tinh vi và khó nhận biết.