Ứng dụng AccuWeather trên iOS chia sẻ trái phép dữ liệu định vị người dùng

Cuộc khảo sát an ninh được thực hiện bởi nhà nghiên cứu Will Strafach đã phát hiện ứng dụng AccuWeather có biểu hiện tiếp tục gửi dữ liệu định vị thiết bị ngay cả khi người dùng từ chối quyền truy cập.

 

Ứng dụng dự báo thời tiết AccuWeather có thể đang vi phạm thỏa thuận giữa Apple và nhà phát triển cũng như lợi dụng lòng tin của người dùng, khi mà một cuộc khảo sát gần đây có sự góp mặt của chuyên gia bảo mật Will Strafach đã khám phá ra rằng ứng dụng thời tiết của iOS nhiều khả năng đang bí mật gửi đi thông tin xác định của người dùng cũng như thiết bị tới một công ty bên thứ ba ngay cả khi người dùng từ chối quyền chia sẻ vị trí của AccuWeather.

Trong những năm qua, bị thu thập thông tin cá nhân dường như đã trở thành một trải nghiệm người dùng buộc phải chấp nhận để sử dụng smartphone hiệu quả và tiện lợi. Bằng cách thu thập dữ liệu người dùng sau đó đem bán, các công ty mới có thể trang trải chi phí hoạt động cũng như tiếp tục cung cấp dịch vụ miễn phí. Tuy nhiên, vấn đề thực sự nảy sinh khi những ứng dụng này không liệt kê rõ ràng chúng thu thập dữ liệu gì và thu thập như thế nào.

Trong nghiên cứu của Strafach, ông phát hiện ra ứng dụng AccuWeather đang cố thu thập dữ liệu người dùng qua một file SDK từ công ty bên thứ ba. File SDK này, vốn được cung cấp bởi RevealMobile, được quảng cáo với danh nghĩa “giúp các nhà phát hành ứng dụng và công ty truyền thông đa phương tiện khai thác tối đa giá trị từ dữ liệu định vị người dùng”. Nếu một người tải về sau đó cho phép AccuWeather sử dụng dữ liệu vị trí của mình, họ sẽ vô tình chia sẻ những thông tin sau tới RevealMobile:

-Vị trí GPS chính xác

-Tên của mạng Wi-Fi thiết bị đang đăng nhập

-Thông tin về việc Bluetooth có được bật hay không

 

Đương nhiên, phần lớn các quyền xin truy cập dữ liệu trên đã được AccuWeather liệt kê trong mục Cam kết Bảo mật của mình:

“Bạn có thể sẽ được xin cấp quyền truy cập những thông tin định danh cá nhân như tên, địa chỉ và/hoặc địa chỉ emai… Ngoài ra bạn có thể sẽ còn được xin cung cấp những thông tin ngoài lề khác như mã vùng hoặc mã bưu điện”.

Chính sách trên về cơ bản là đủ để bao che cho tình huống người dùng tải ứng dụng về và chấp nhận chia sẻ thông tin vị trí. Người dùng sau đó nên để tâm đến việc mình có thể đang chia sẻ dữ liệu cá nhân, vốn là những thông tin có thể giúp xác định chính xác một người dùng.

Nhưng vấn đề ở đây, được Strafach phát hiện ra, là kể cả trong trường hợp người dùng từ chối quyền truy cập và chia sẻ dữ liệu GPS trên iOS, RevealMobile vẫn tiếp tục nhận được dữ liệu xác định. Cụ thể là họ sẽ biết mạng Wi-Fi SSID của người dùng và sau đó tìm ra địa điểm địa lý chính xác bằng beacon Bluetooth.

Thông thường, nếu một người dùng từ chối yêu cầu chia sẻ dữ liệu định vị khi thông báo xin cấp quyền pop up trên iOS, ứng dụng sẽ không được cấp bất cứ quyền gì để truy cập vào vị trí thiết bị. Nhưng trên phiên bản 10.5.2 của AccuWeather, kể cả khi người dùng từ chối chia sẻ vị trí của mình, họ vẫn đang phát đi tín hiệu định vị mà không hay biết.

AccuWeather nên đề cập rõ ràng hơn trong Cam kết Bảo mật của mình rằng ngay cả khi từ chối quyền định vị, ứng dụng vẫn sẽ tiếp tục thu thập vị trí của người dùng.

Chưa rõ mục đích sử dụng thật sự của những thông tin thu thập được là gì, nhưng với lượng dữ liệu thu thập được, RevealMobile có thể xác định tương tác người dùng để từ đó tạo nên thứ mà họ gọi là “nhóm người dùng giá trị cao” (gốc: “high-value audiences”). Câu hỏi đặt ra ở đây là dữ liệu người dùng mà RevealMobile thu thập được bảo mật tới mức nào? Cuối cùng, Strafach lưu ý thêm rằng: “Động thái tương tự trước đây của một công ty khác cũng đã khiến Ủy ban Thương mại Liên bang Mỹ để mắt tới”.

Theo 9to5mac

VietBao.vn //

Leave a Reply