Phát hiện hơn 1.300 ứng dụng thu thập dữ liệu người dùng NGAY CẢ KHI không được cấp quyền

Các nhà nghiên cứu mới đây đã tiết lộ hơn 1300 ứng dụng Android đang ngấm ngầm thu thập dữ liệu nhạy cảm ngay cả khi người dùng từ chố...

Các nhà nghiên cứu mới đây đã tiết lộ hơn 1300 ứng dụng Android đang ngấm ngầm thu thập dữ liệu nhạy cảm ngay cả khi người dùng từ chối cấp quyền truy cập cho những ứng dụng này.

Điện thoại thông minh thực sự là mỏ vàng chứa các dữ liệu nhạy
cảm và các ứng dụng hiện đại hoạt động như các máy đào liên tục thu thập mọi
thông tin có thể từ thiết bị của người dùng.

Mô hình bảo mật của các hệ điều hành di động phổ biến hiện
nay như Android hay iOS chủ yếu dựa trên quyền cấp phép của người dùng. Tại đó
các ứng dụng có thể truy cập vào các dịch vụ nhạy cảm, khả năng của thiết bị
hay thông tin người dùng hay không hoàn toàn phụ thuộc vào sự cho phép của người
sử dụng.

Các nhà phát triển ứng dụng đang bí mật thu thập dữ liệu người dùng
Tuy nhiên, một nhóm các nhà nghiên cứu tại Viện Khoa học Máy
tính Quốc tế ở California mới đây đã tiết lộ một sự thật gây chấn động khi công
bố thông tin các nhà phát triển ứng dụng di động đang sử dụng các kỹ thuật mờ ám
để thu thập dữ liệu của người dùng ngay cả khi họ từ chối cấp phép truy cập.

Trong bài nói chuyện "50 cách để rò rỉ dữ liệu của bạn" [PDF] tại PrivacyCon do Ủy ban thương mại liên bang tổ chức vào thứ Năm tuần trước, các nhà nghiên cứu đã trình bày những phát hiện của họ cho thấy hơn 1.300 ứng dụng Android đang thu thập dữ liệu định vị chính xác và số nhận dạng điện thoại của người dùng ngay cả khi họ đã từ chối cấp quyền truy cập một cách rõ ràng.

Các ứng dụng có thể phá vỡ mô hình cấp phép và có quyền truy cập vào dữ liệu được bảo vệ mà không cần sự đồng ý của người dùng bằng cách sử dụng các kênh bí mật (covert channel) và các kênh phụ (side channel).

Các nhà nghiên cứu đã phân tích hơn 88.000 ứng dụng từ cửa
hàng Google Play, phát hiện tới 1.325 ứng dụng đang vi phạm các hệ thống cấp
phép trong hệ điều hành Android bằng cách sử dụng các workaround ẩn cho phép tìm
kiếm các dữ liệu cá nhân của người dùng từ các nguồn chẳng hạn như siêu dữ liệu
(metadata) được lưu trữ trong ảnh và các kết nối Wi-Fi.

Thu thập thông tin Dữ liệu vị trí thiết bị của người dùng
Dữ liệu vị trí (Location Data) - Chẳng hạn,
các nhà nghiên cứu đã tìm thấy một ứng dụng chỉnh sửa ảnh, được gọi là
Shutoston hiện đang thu thập dữ liệu vị trí của thiết bị bằng cách trích xuất tọa
độ GPS từ metadata của ảnh dưới dạng kênh phụ (side-channel) ngay cả khi người
dùng từ chối cấp quyền cho ứng dụng này truy cập vào dữ liệu vị trí.

Hơn nữa, cần lưu ý rằng nếu một ứng dụng có thể truy cập vị
trí của người dùng thì cũng đồng nghĩa với việc tất cả các dịch vụ của bên thứ
ba được nhúng trong ứng dụng đó cũng có thể truy cập nguồn dữ liệu này.

Thu thập thông tin số nhận dạng điện thoại
Số nhận dạng điện thoại (Phone Identifier) -
Bên cạnh đó, các nhà nghiên cứu đã tìm thấy 13 ứng dụng khác với hơn 17 triệu
cài đặt hiện đang truy cập số IMEI của điện thoại - số nhận dạng không được bảo
vệ lưu trữ trên thẻ SD của điện thoại bởi các ứng dụng khác.

Android bảo vệ quyền truy cập vào IMEI của điện thoại với
quyền READ_PHONE_STATE. Các nhà nghiên cứu đã phát hiện ra hai dịch vụ trực tuyến
của bên thứ ba sử dụng các kênh bí mật khác nhau để truy cập IMEI khi ứng dụng
không được người dùng cấp quyền cần thiết để truy cập.

Theo các nhà nghiên cứu, các third-party libraries  được cung cấp bởi hai công ty Trung Quốc,
Baidu và Salmonads cũng đang sử dụng kỹ thuật này như một kênh bí mật để thu thập
những dữ liệu nhạy cảm mà họ vốn không được cấp quyền truy cập.

Thu thập địa chỉ Mac của các điểm truy cập Wi-Fi
Địa chỉ Mac – nhiều ứng dụng khác đang sử dụng địa chỉ
Mac của các điểm truy cập Wi-Fi để tìm ra vị trí của người dùng. Việc thu thập
dữ liệu vị trí theo cách này được áp dụng đối với các ứng dụng có chức năng điều
khiển từ xa thông minh mà thông thường không cần thông tin vị trí hoạt động.

Các nhà nghiên cứu cho biết các công ty nhận địa chỉ MAC của
các trạm gốc Wi-Fi được kết nối từ bộ đệm ARP để sử dụng thay thế cho các dữ liệu
vị trí. Các nhà nghiên cứu cũng đã tìm thấy 5 ứng dụng khai thác lỗ hổng này và
5 ứng dụng khác với mã thích hợp để thực hiện các hành động khai thác thu thập
dữ liệu kể trên.

Bên cạnh đó, việc biết địa chỉ MAC của bộ định tuyến cho
phép một người có khả năng liên kết với các thiết bị khác có chung quyền truy cập
Internet. Điều này có thể tiết lộ các mối quan hệ cá nhân của chủ sở hữu tương ứng
hoặc cho phép theo dõi chéo thiết bị (cross-device tracking).

Các nhà nghiên cứu cũng đã thử nghiệm khai thác thành công
các lỗ hổng tồn tại trong các ứng dụng này trên các phiên bản cụ thể của
Android Marshmallow và Android Pie.

Google vẫn chưa phát hành bản vá cho các lỗ hổng trên Android
Các nhà nghiên cứu cũng đã sớm báo cáo những phát hiện của mình
cho Google vào tháng 9 năm ngoái, đồng thời nhận về một khoản tiền thưởng từ phía
công ty nằm trong khuôn khổ chương trình tiền thưởng lỗi của Google.

Tuy nhiên, người dùng vẫn sẽ phải chờ đợi tới tận cuối mùa hè
năm nay để nhận được bản sửa lỗi cho những lỗ hổng này trong đợt phát hành phiên
bản Android Q sắp tới.

Bản cập nhật Android Q sẽ giải quyết các vấn đề kể trên bằng cách ẩn các dữ liệu vị trí trong ảnh (photo) khỏi các ứng dụng của bên thứ ba cũng như bắt buộc các ứng dụng truy cập Wi-Fi phải được cấp phép thì mới có quyền truy cập các dữ liệu vị trí.

Cho đến lúc đó, người dùng được khuyến cáo không nên tin tưởng bất cứ ứng dụng nào của các bên thứ ba, đồng thời tắt toàn bộ cài đặt cấp phép vị trí và ID cho các ứng dụng không cần thiết. Bên cạnh đó, người dùng cũng được khuyên nên gỡ bỏ cài đặt của các ứng dụng không cần sử dụng thường xuyên.  

THN

COMMENTS

Tên

.:: Connect Trojan ::.,111,.htaccess,2,0-day,3,2017,2,Add-on,16,Anotador,1,AutoIT,17,Ấn Độ,1,BackDoor,1,Bán Sách,13,banhangonline,1,Bảo Mật,108,Bất Động Sản Tại Tiền Giang,4,Bestsellers,13,Binder,1,blog,31,Blogger,4,Blogger Template,1,Botnet,3,Brute,1,Bug Bounty,1,Bypass,10,ceh,1,Châu Tinh Trì,2,Checked,6,Chiến tranh,2,Chrome,21,Code,5,coin hive,1,Coin-Hive,2,CoinHive,1,Connect Trojan,342,Connect Trojan ::.,1,Cổ Tích,2,Cổ Trang,11,Crack,3,Crypto,5,CSRF,5,CSS,2,Cuộc Sống,1,DDoS,6,Designer,1,Dich vụ,1,DNS,4,Download,2,du-an,2,DVD LUMION Tiếng Việt của anh Dũng Già Pro,1,Đam Mỹ,1,điện,1,Đồ Họa,215,Đô Thị,16,e11.me,1,ebook,13,ebook free,286,eBook Phệ Hồn Nghịch Thiên,1,eBook Thịnh Thế Địch Phi,1,Encrypt,1,Encryption,1,epub,77,epub [Tiên hiệp],1,ET-Logger,1,exploit,23,Exploitation,1,Extractor,2,facebook,69,FireFox,15,Flood,2,Forensic,7,full prc,2,game,177,Gerador,3,Gerenciador,1,Get Root,3,GHDB,3,Giả Tưởng,1,giaitri,1,Google,15,H&Y Shop,2,Hacker,3,Hacking,10,Hacking and Security,6,Hacking Tools,36,Hài hước,8,Hành Động,9,He Thong Site Phim,25,Hijacking,6,Hình Sự,5,hivecoin.hive coin,1,Hỏi Xoáy Đáp Xoay Trên VTV3,1,Hồng Kông,3,HTML,1,Huyền Ảo,92,Hướng dẫn Internet cơ bản,1,IFTTT,703,Imgur,2,Infographic,1,Information Disclosure,1,Internet Explorer,3,IT News,39,J2TeaM,29,J2TeaM Tools,9,JavaScript,6,Javascript Injection,3,Juno_okyo's Blog,23,Khóa Học,27,khoá học miễn phí,16,Khóa học Photoshop,19,Khóa học sử dụng mã độc và phòng chống mã độc,1,Khoa Huyễn,6,khuyến mãi,2,kiemhiep,9,Kiếm Hiệp,20,Kiếm Tiền MMO,32,kiếm tiền rút gọn link,1,KilerRat,1,Kinh Dị,25,Kinh Dị - Ma,6,Kinh Doanh,73,kinhdi,1,kinhdoanh,5,KRACK Attacks,1,Lãng mạn,1,lazada,1,Lập trình,2,Lịch Sử,5,Linux,1,Local Attack,2,Logins/Cadastro,1,Lỗi Web,1,Lồng Tiếng,6,Lược Sử Hacker,2,Mã Giảm Giá,1,Mã Hóa,48,Malware,3,Master-Code,31,Máy Tính,1,Metasploit,2,Microsoft,4,mobile hacking,2,monero,1,Movie,25,MySQL,1,NEW PRODUCTS,19,NGHỆ THUẬT ẨN MÌNH,13,ngontinh,10,Ngôn Tình,151,Nhân Vật Lịch Sử,2,Nhật Bản,1,Nhựt Trường Group,1,NjRat,5,Nước,1,open redirect,1,Oracle,1,Path Disclosure,2,pdf,77,Pen-Test,6,Pentest Box,9,phanmem,22,phanmemdienthoai,3,phanmemmaytinh,10,phần mềm,11,Phim 18,2,Phim 2012,1,Phim 3D,1,Phim Âm Nhạc,2,Phim Bộ,58,Phim Chiến Tranh,5,Phim Dã Sử - Cổ Trang,6,Phim Đài Loan,6,Phim Đang Cập Nhập,5,Phim Đề Cử,4,Phim Hài Hước,26,Phim Hàn Quốc,33,Phim HD Chất Lượng Cao,5,Phim Hoàn Thành,7,Phim Hoạt Hình,2,Phim Hot,2,Phim Hồng Kông,20,Phim HQ,15,Phim Kinh Dị,8,Phim lẻ,7,Phim Mới 2007,1,Phim Mới 2010,1,Phim Mới 2011,4,Phim Mới 2012,2,Phim Mới 2013,2,Phim Mới 2014,6,Phim Mới 2015,4,Phim Nhật Bản,4,Phim SD,12,Phim Thái Lan,6,Phim Thần Thoại,4,Phim Tình Cảm,35,Phim Trung Quốc,37,Phim Truyền Hình,32,Phim Viễn Tưởng,1,Phim Võ Thuật,36,Phim Xã Hội Đen,1,Phishing,5,PHP,16,Plugin,1,Port,1,prc,79,Programming,15,Python,1,Quảng Cáo,1,rat,457,Recovery,3,Remote Code Execution,1,Remote Desktop,1,Reverse Engineering,6,rút gọn link,1,sach,47,Sách,33,Sách Nghệ Thuật Sống,12,Sách Tâm Linh,1,Sách Tiếng Anh,2,sachiep,2,Sản Phẩm,1,Sắc Hiệp,16,Scam,1,Scanner,10,Security,66,SEO,5,share,1,Shell,5,Social Engineering,4,Software,22,Source Unity,1,SQL injection,21,Sức Khỏe,1,Symlink,3,Tài Liệu,1,Tản mạn,7,Taudio,2,Tâm lý xã hội,1,tấn công,1,Testador,1,Thái Lan,2,Tham Khảo,3,thamkhao,11,Thành Long,1,them,1,Thiết Kế Web,28,Thời Trang,2,Thủ Thuật Hacking,53,Thuyết Minh,5,tienhiep,5,Tiên Hiệp,123,Tiểu Thuyết,100,TIL,8,Tin Tức,51,Tình Cảm - Tâm Lý,16,Tips,39,tool,1,Tool Hack,14,Tools,9,Tổng Hợp,1,Tricks,26,Trinh thám,1,Trinh Thám - Hình Sự,8,trojan original,48,Trọng sinh,11,Trộm mộ,1,Trung Quốc,9,Truyện,1,Trương Định,110,Tu Chân,2,TUTORIALS,124,TVB,3,Twitter,1,Ung_Dung,4,Upload,1,usb,1,vanhoc,11,văn học,6,vBulletin,7,video,16,Vietsub,3,Việt Nam,14,Virus,4,Võ Thuật,12,Võng Du,5,Vulnerability,19,Web Developer,15,webmau,5,WHMCS,3,WiFi,2,wiki lỗi máy tinh,1,wiki lỗi NTG,3,Windows,12,WordPress,43,Write-up,11,XSS,16,Yahoo,1,yeah1offer,1,youtube,11,
ltr
item
NhutTruong.Com - Dịch Vụ CNTT: Phát hiện hơn 1.300 ứng dụng thu thập dữ liệu người dùng NGAY CẢ KHI không được cấp quyền
Phát hiện hơn 1.300 ứng dụng thu thập dữ liệu người dùng NGAY CẢ KHI không được cấp quyền
https://1.bp.blogspot.com/-mtf8ql0aBaM/XSanJ8tIsmI/AAAAAAAAoxA/9W6Ga_JtVPclv5DibnmQR_x3RGQxGs-fQCLcBGAs/s640/2019-07-11_100314.jpg
https://1.bp.blogspot.com/-mtf8ql0aBaM/XSanJ8tIsmI/AAAAAAAAoxA/9W6Ga_JtVPclv5DibnmQR_x3RGQxGs-fQCLcBGAs/s72-c/2019-07-11_100314.jpg
NhutTruong.Com - Dịch Vụ CNTT
https://www.nhuttruong.com/2019/07/phat-hien-hon-1300-ung-dung-thu-thap-du.html
https://www.nhuttruong.com/
https://www.nhuttruong.com/
https://www.nhuttruong.com/2019/07/phat-hien-hon-1300-ung-dung-thu-thap-du.html
true
7607280272436897486
UTF-8
Loaded All Posts Not found any posts VIEW ALL Readmore Reply Cancel reply Delete By Home PAGES POSTS View All RECOMMENDED FOR YOU LABEL ARCHIVE SEARCH ALL POSTS Not found any post match with your request Back Home Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow Đây là nội dung quý hiếm để tránh google quét chết link Vui lòng đăng nhập Facebook hoặt Tweet để like và share để hiện link Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy