Tốc độ phát triển tựa vũ bão của công nghệ di động đem lại nhiều lựa chọn về smartphone chất lượng cao giá rẻ cho người tiêu dùng, nhưng bên cạnh đó là nỗi lo thường trực về vấn đề bảo mật dữ liệu vốn đã vô cùng phức tạp nay càng trở nên khó kiểm soát. Các nhà phân tích an ninh đã khám phá ra rằng điện thoại giá rẻ thường đi kèm với sự hy sinh về bảo mật của người dùng. Với mức giá chỉ 60 USD, chiếc Blu R1 HD là điện thoại bán chạy hàng đầu trên kênh bán hàng trực tuyến Amazon. Tháng 11 năm ngoái, các nhà nghiên cứu đã bắt gặp thiết bị này bí mật gửi dữ liệu riêng tư của người dùng về máy chủ tại Trung Quốc. Shanghai Adups Technology, tập đoàn đứng đằng sau phần mềm gián điệp trên Blu R1 HD, cho rằng đó là một sự hiểu lầm. Nhưng các nhà phân tích tại Kryptowire cho biết nhà cung cấp phần mềm vẫn đang tiếp tục triển khai sự “hiểu lầm” của mình trên các điện thoại khác. Tại hội nghị an ninh Black Hat tổ chức tại Las Vegas thứ Tư vừa rồi, các nhà nghiên cứu tới từ công ty an ninh Kryptowire đã tiết lộ rằng phần mềm của Adups vẫn tiếp tục gửi dữ liệu của một thiết bị về máy chủ của công ty đặt tại Thượng Hải mà không thông báo bất kỳ điều gì tới người dùng. Hơn nữa, giờ đây nó làm điều đó một cách thậm chí còn lén lút hơn nữa. Ryan Johnson, kỹ sư nghiên cứu và đồng sáng lập của công ty an ninh Kryptowire cho biết: “Họ đã thay thế phần mềm cũ bằng những phiên bản mới tinh vi hơn. Tôi đã bắt được lưu lượng mạng lúc họ đang cố sử dụng kênh lệnh và điều khiển để ăn cắp dữ liệu từ người dùng”. Một phát ngôn viên của Adups nói rằng công ty đã giải quyết vấn đề từ 2016 và rằng vấn đề “không còn tồn tại nữa”. Kryptowire nói rằng đã theo dõi được Adups bí mật gửi dữ liệu về máy chủ mà không thông báo cho người dùng trên ít nhất ba thiết bị điện thoại khác nhau. Hội nghị Black Hat năm nay diễn ra trong bối cảnh năm vừa qua xảy ra hàng loạt báo cáo về những vụ hack của Nga và sự xâm phạm chúng gây ra tới cuộc đua tranh chức tổng thống 2016 của Mỹ, cũng như tin về các vụ tấn công của mã độc tống tiền ransomware mã hóa toàn bộ dữ liệu người dùng phổ thông vào doanh nghiệp cho tới khi nhận được tiền chuộc gây nhức nhối dư luận vài tháng trước. Sự xâm phạm riêng tư nặng nề Việc nắm quyền truy cập vào kênh lệnh và điều khiển - một tuyến đường truyền thông giữa thiết bị của bạn và một máy chủ - cho phép Adups thao túng các lệnh trên điện thoại như thể họ là người dùng thiết bị vậy. Đồng nghĩa với việc họ có thể cài đặt ứng dụng, chụp ảnh hoặc ghi hình màn hình điện thoại, gọi điện thoại và xóa sạch dữ liệu điện thoại mà không cần có quyền người dùng. “Đó là một sự xâm phạm quyền riêng tư nặng nề”, Johnson nói. Kryptowire đã theo dõi hơn 20 thiết bị Android giá rẻ và nhận ra hai vấn đề: tất cả đều gặp lỗ hổng bảo mật cho phép các ứng dụng gián điệp hoạt động và tất cả đều sử dụng vi xử lý tới từ MediaTek. Chip xử lý của hãng này luôn được cài đặt sẵn một ứng dụng tên MTKLogger. Ứng dụng khi bị cướp quyền điều khiển có thể giám sát các dữ liệu như lịch sử duyệt web hay GPS. MediaTek nói hãng đã giải quyết vấn đề xong xuôi hồi tháng 11, nhưng các nhà nghiên cứu tại Kryptowire tìm ra rằng chiếc Blu Advance 5.0 vẫn được bán ra với một phiên bản chứa lỗ hổng của ứng dụng nói trên. Chiếc điện thoại bán chạy thứ ba trên Amazon này không được cập nhật phần mềm firmware mới nhất để ngăn chặn mã độc khai thác, Johnson cho biết. Nó hoạt động qua một khái niệm tên là đặc quyền leo thang, vốn dĩ sẽ cho phép rất nhiều quyền truy cập cấp cao mà đáng ra người dùng không bao giờ muốn cấp cho một số ứng dụng. Kryptowire cho biết hãng chưa phát hiện ra trường hợp nào ứng dụng MTKLogger bị chiếm quyền kiểm soát, nhưng rủi ro là hoàn toàn có thật. Kryptowire phát hiện ra các động thái gián điệp của Adups vào tháng 10 năm ngoái. Sau khi lộ tẩy, Adups đã nhanh chóng loại bỏ các mã độc theo dõi dữ liệu trên chiếc Blu R1HD và Blu Life One X2 - hai smartphone bán rất chạy trên Amazon nhờ giá thành dễ chịu - và hai smartphone này sau đó không tiếp tục gửi tin nhắn và nhật ký cuộc gọi về Trung Quốc nữa. Về phần mình, hãng điện thoại Blu từ chối yêu cầu bình luận về vấn đề này. Vấn nạn đang ngày càng làn rộng Johnson phát hiện ra chiêu trò của Adups duy nhất bởi vì nó xuất hiện trên điện thoại bán chạy nhất Amazon. Vẫn còn rất nhiều hãng sản xuất khác có thể làm ra điện thoại giá rẻ gắn mã độc trước khi xuất xưởng. Vào tháng 5, ông mua một chiếc Blu Grand M từ Best Buy, có giá từ 60-75 USD. 6 tháng sau khi Adups tuyên bố đã phạm sai lầm với hành động theo dõi dữ liệu của mình. Johnson đã khám phá ra rằng sự việc vẫn tiếp tục diễn ra trên chiếc Blue Grand M. Ông sau đó đã phát hiện điện thoại đang bí mật gửi dữ liệu bao gồm một danh sách ứng dụng cài đặt, một đặc điểm nhận dạng độc nhất như địa chỉ MAC hay IMEI, số điện thoại và tên nhà mạng về Trung Quốc. Nó không theo dõi GPS của bạn, nhưng theo dõi dữ liệu nhà mạng di động là đủ để coi là bằng chứng trong nhiều vụ xét xử giết người và đã làm dấy lên nhiều cuộc tranh cãi về quyền riêng tư số. “Chỉ cần người dùng ở vùng thành thị, nó có thể định vị chính xác vị trí người đó”, Johnson cho biết. Adups theo dõi người dùng trên nhiều mức độ phụ thuộc vào điện thoại sử dụng, nhưng hãng đã cài đặt trước vào 700 triệu thiết bị, bao gồm cả ô tô và các thiết bị kết nối khác. Một vài thiết bị còn táo tợn hơn khi đánh cắp cả lịch sử duyệt web và bookmark của người dùng. Johnson cho biết a chưa tìm thấy spyware trên điện thoại nào có giá trên 300 USD, vì Adups chủ yếu được cài trên các thiết bị giá rẻ. Tuy nhiên không chỉ trên các thiết bị của Blu, vào tháng 5 Johnson cũng đã tìm thấy các bộ lọc khai thác dữ liệu trên chiếc Cubot X16S, chiếc điện thoại được bán với giá 90-110 USD bị phát hiện lén lút gửi nhật ký cuộc gội, lịch sử duyệt web và dữ liệu GPS sau lưng người dùng. Cubot, tất nhiên, không đáp lại yêu cầu bình luận. “Dường như vấn nạn đang lan rộng trên các smartphone giá rẻ”, Johnson nói. Vẫn chưa rõ những dữ liệu ăn cắp được mang về các máy chủ tại Trung Quốc sẽ được dùng để làm gì. Khi nhà đồng sáng lập Kryptowire liên lạc với Adups, công ty nói sẽ chỉ đơn giản là xóa luôn dữ liệu. Sau cùng thì, Kryptowire chỉ có thể theo dõi được lưu lượng dữ liệu chảy về đâu, chứ không thể biết được người ta sẽ sử dụng dữ liệu vào mục đích gì. ICTNews