Hàng triệu ứng dụng rò rỉ dữ liệu cá nhân người dùng thông qua Ad SDKs

Hàng triệu ứng dụng đã rò rỉ thông tin cá nhân như tên, tuổi, thu nhập và thậm chí là cả điện thoại và địa chỉ email. Tất cả lỗi là do các nhà phát triển ứng dụng đã không bảo vệ dữ liệu mục tiêu quảng cáo cho đơn vị quảng cáo bên thứ ba.

Roman Unucheck là một nhà nghiên cứu an ninh bảo mật của Kaspersky Lab đã trình bày nghiên cứu của mình tại hội nghị RSA vào ngày thứ ba cho biết về vấn đề : “Hàng triệu ứng dụng có chứa SDK của bên thứ ba đã để lộ dữ liệu cá nhân của người dùng có thể bị mã độc tấn công, tống tiền hoặc tấn công vào thiết bị của người dùng.”

Dữ liệu được gửi đi không được mã hóa qua HTTP và có thể bị thu thập bởi các tội phạm mạng đang dùng chung mạng Wi-Fi hoặc bởi một ISP hoặc thậm chí là một phần mềm độc hại được cài đặt trên Router Internet tại nhà.

Theo Unucheck, không chỉ thu thập dữ liệu mà những dữ liệu có thể bị chặn và sửa đổi nó để hiển thị các quảng cáo độc hại lôi kéo người dùng tải về các ứng dụng hoặc trojan mã độc hại vào thiết bị của họ.

Kaspersky cho biết nguồn gốc của vấn đề này có thể tìm thấy từ việc sử dụng SDK xác định trước và sử dụng lại bằng cách kết nối với các mạng quảng cáo phổ biến được nhà phát triển ứng dụng tận dụng để tiết kiệm thời gian. Theo một phân tích các SDK được xác định trước đó bởi Kaspersky thì thiếu sót xảy ra vì họ gửi dữ liệu hồ sơ người dùng về các máy chủ nhà quảng cáo mà không hề có lớp bảo vệ nào. Thêm vào đó mã SDK này cũng được sử dụng cùng lúc trong hàng triệu ứng dụng của nhà phát triển.

"Chúng tôi tìm kiếm hai yêu cầu HTTP phổ biến nhất - GET và POST. Trong GET yêu cầu dữ liệu người dùng thường là một phần của các tham số URL, trong khi GET yêu cầu dữ liệu người dùng nằm trong trường Nội dung của yêu cầu chứ không phải URL. Trong nghiên cứu của chúng tôi, chúng tôi đã tìm kiếm các ứng dụng truyền dữ liệu người dùng không được mã hóa sử dụng ít nhất một trong số các yêu cầu này, mặc dù nhiều người đang tiết lộ dữ liệu người dùng trong cả hai yêu cầu ", Unuchek viết trong một báo cáo nghiên cứu phát hành hôm thứ Ba.

Ông nói rằng 4 triệu APK đã kiểm tra để lộ một số dữ liệu trên Internet. "Một số người trong số họ đã làm điều đó bởi vì các nhà phát triển của họ đã mắc phải sai lầm, nhưng hầu hết các ứng dụng phổ biến đang phơi bày dữ liệu người dùng vì các SDK của bên thứ ba".

Các nhà nghiên cứu đã không xác định các nhà quảng cáo hoặc ứng dụng đằng sau các SDK, chỉ nêu ra vài triệu ứng dụng sử dụng các SDK của các mạng quảng cáo phổ biến đã bị ảnh hưởng.

Đáng báo động hơn nữa, các nhà nghiên cứu cho biết một số nhà phát triển ứng dụng độc hại cũng truyền dữ liệu không an toàn. "Trong trường hợp phần mềm độc hại, nó thậm chí còn tồi tệ hơn bởi vì nó có thể ăn cắp nhiều dữ liệu nhạy cảm hơn như tin nhắn SMS, lịch sử cuộc gọi, địa chỉ liên lạc ... Các ứng dụng độc hại không chỉ ăn cắp dữ liệu người dùng mà còn phơi bày nó trên Internet làm cho nó có sẵn cho người khác khai thác và bán, ".

Qua đây, Unucheck khuyên người dùng nên kiểm tra kỹ quyền của ứng dụng trước khi cài đặt các ứng dụng này. Ứng dụng càng yêu cầu nhiều quyền thì khả năng dữ liệu càng bị gửi một cách không an toàn. Ngoài ra người dùng cũng nên sử dụng VPN để bảo vệ tốt hơn.

Minh Hương