Hàng triệu người dùng có thể đang bị ứng dụng đèn pin trên smartphone của ḿnh âm thầm thu thập thông tin cá nhân, tài khoản ngân hàng... để đem bán ra thị trường “chợ đen”.
Đó là cảnh báo của Công ty an ninh mạng SnoopWall - tham mưu về an ninh mạng cho Chính phủ Mỹ. SnoopWall cho rằng các ứng dụng đèn pin trên smartphone không miễn phí và vô hại như nhiều người vẫn lầm tưởng. Chúng có thể đang bị tội phạm mạng lợi dụng làm công cụ âm thầm trục lợi từ sự chủ quan của người dùng.
Đánh cắp tài khoản ngân hàng
Ứng dụng Brightest Flashlight Free đă đạt đến mốc hơn 50 triệu lượt tải xuống, cho thấy mức độ rất phổ biến của phần mềm này. Tuy nhiên trong điều kiện sử dụng, ngoài những yêu cầu như của Super-Bright LED Flashlight, ứng dụng này có thêm “xin phép” sử dụng các tập tin trên thiết bị như: h́nh ảnh, video, âm thanh và cả bộ nhớ ngoài - có vẻ không liên quan lắm đến chức năng đèn pin.
Gary Miliefsky, người đứng đầu SnoopWall, cho biết: “Người dùng điện thoại thông minh và máy tính bảng đang phải đối mặt với việc các ứng dụng cài đặt trên thiết bị thực hiện nhiều vai tṛ hơn so với dịch vụ mà chúng cung cấp”.
Theo Miliefsky, các ứng dụng đèn pin mà họ phát hiện đang theo dơi người dùng đều là những cái tên khá nổi tiếng hiện nay như: Super-Bright LED Flashlight, Brightest Flashlight Free và Tiny Flashlight + LED.
Các ứng dụng này có các điều khoản cài đặt không liên quan lắm đến chức năng của chúng như: tùy chỉnh hoặc loại bỏ các nội dung lưu trữ qua USB, lấy vị trí chính xác của người dùng, các phím tắt, xem tất cả kết nối mạng, xem tin nhắn...
Và người dùng thường rất dễ dàng bỏ qua bởi suy nghĩ chủ quan “chúng chỉ là cái đèn pin”.
Miliefsky cho rằng các ứng dụng trên có thể được tội phạm mạng phát triển hoặc chỉnh sửa nhằm thu thập dữ liệu người dùng và bán cho các công ty nghiên cứu thị trường, các công ty quảng cáo để xác định thói quen mua sắm.
Thậm chí, chúng có thể đánh cắp các thông tin tài khoản ngân hàng nếu có cơ hội tiếp cận được. Đây được xem là món hàng rất hấp dẫn trên thị trường “chợ đen” hiện nay.
Để thêm nguồn thông tin, chúng tôi đă thử t́m hiểu về các ứng dụng trên trong kho ứng dụng trực tuyến CH Play của hệ điều hành Android. Kết quả, ứng dụng Super-Bright LED Flashlight (hiện đă bổ sung chữ HD phía sau) có hơn 1 triệu lượt người dùng tải xuống.
Nếu muốn cài đặt ứng dụng này, người dùng phải cho ứng dụng xem các hoạt động của thiết bị, ứng dụng đang chạy, lịch sử tŕnh duyệt web và dấu trang, cho ứng dụng sử dụng máy ảnh và micro, xem thông tin về kết nối WiFi, Bluetooth, số điện thoại của chủ nhân và các số điện thoại được kết nối.
Nên dùng đèn pin mặc định
Hầu hết smartphone của các thương hiệu điện thoại phổ dụng trên thị trường Việt Nam hiện nay đều có tích hợp sẵn chức năng đèn pin. Tuy nhiên các nhà sản xuất đều cam kết đèn pin của họ chỉ hoạt động đúng chức năng chứ không “vượt rào” như các ứng dụng được SnoopWall công bố.
Ông Mark Chu, giám đốc sản phẩm ngành hàng điện thoại và máy tính bảng của Hăng Asus, khẳng định: “ứng dụng đèn flash thuộc giao diện ZenUI được cài sẵn trên các sản phẩm Asus chạy hệ điều hành Android là một ứng dụng an toàn, không có chức năng thu thập thông tin từ người dùng”.
Đại diện Lenovo cho biết: “ứng dụng đèn pin được cài đặt sẵn như một tính năng tiêu chuẩn có trong tất cả ḍng smartphone Android của Lenovo được chính Lenovo phát triển.
Ứng dụng này không theo dơi, thu thập bất cứ thông tin nào của người dùng. Lenovo có chính sách nghiêm ngặt không được phép thu thập thông tin cá nhân mà không được sự đồng ư của người dùng.
Những ứng dụng của bên thứ ba sẽ không được cài đặt vào những ḍng smartphone của chúng tôi nếu không được kiểm thử và đạt được các tiêu chí đề ra”.
Đại diện Hăng LG cũng cam kết: “LG tự phát triển tính năng đèn flash, không sử dụng ứng dụng bên thứ ba và tất nhiên không có chuyện thu thập hay theo dơi người sử dụng”...
Cẩn trọng trước khi tải ứng dụng
Đối với người dùng hệ điều hành Android hiện nay, việc cài đặt ứng dụng của bên thứ ba từ cửa hàng CH Play là chuyện b́nh thường. Tuy nhiên mỗi ứng dụng thường luôn đi kèm các điều khoản yêu cầu mà người dùng hay chủ quan bỏ qua. Các chuyên gia bảo mật tỏ ra rất lo ngại bởi thông tin người dùng có thể bị đánh cắp bất cứ lúc nào.
Trao đổi với chúng tôi, chuyên gia bảo mật cao cấp của Hăng Kaspersky Lab Victor Chebyshev cho biết: “Một ứng dụng độc hại giả mạo một ứng dụng nổi tiếng là việc không mới. Chúng ta đă chứng kiến các mă độc khác làm những việc như vậy, như một “cửa hậu” đă giả mạo thành một ứng dụng đèn pin. Nói cách khác, tội phạm mạng thường phát tán mă độc di động bằng cách sử dụng những kỹ thuật xă hội (social engineering technique).
Để tránh bị nhiễm những ứng dụng di động độc hại, chúng tôi đề nghị người dùng chỉ nên sử dụng những cửa hàng ứng dụng uy tín và tự bảo vệ ḿnh bằng một giải pháp chống mă độc hiệu quả”.
Đại diện Hăng Sony cho biết người dùng nên kiểm tra kỹ phần thông báo quyền truy cập ứng dụng (ví dụ như quyền truy cập vào danh bạ điện thoại, email, mạng xă hội, bộ nhớ trong...) trước khi quyết định cài đặt ứng dụng vào máy.
Nếu có nghi ngờ, người dùng cần t́m hiểu kỹ thông tin về ứng dụng này trước khi cài đặt. Chẳng hạn ứng dụng đèn pin lại yêu cầu truy cập danh bạ là điều đáng nghi ngờ.
PCW