Gần 17.000 ứng dụng Android thu thập thông tin nhận dạng để tạo một bản ghi vĩnh viễn các hoạt động trên thiết bị của bạn - đó là kết quả của nghiên cứu do Viện khoa học máy tính quốc tế tiến hành. Hành vi thu thập dữ liệu này có vẻ đã vi phạm chính sách về thu thập dữ liệu của gã khổng lồ tìm kiếm, trong hầu hết các trường hợp nhằm đưa người dùng vào tầm ngắm để phục vụ cho mục đích quảng cáo.
Các ứng dụng này có thể theo dõi bạn bằng cách liên kết Advertising ID của bạn - một con số độc nhất nhưng có thể reset được, dùng để lựa chọn quảng cáo phù hợp với chính bạn - với những thông tin nhận dạng khác vốn khó hoặc không thể thay đổi được mà chúng thu thập trên chiếc điện thoại bạn đang dùng. Những ID (thông tin nhận dạng) này bao gồm những thông số đặc biệt, không thiết bị nào giống nhau, bao gồm: địa chỉ MAC, số IMEI, và Android ID. Có ít hơn 1/3 số ứng dụng thu thập thông tin nhận dạng chỉ lấy Advertising ID, tức phù hợp với khuyến nghị của Google dành cho các nhà phát triển.
Theo Serge Egelman, người dẫn đầu nhóm nghiên cứu, thì khi ứng dụng thu thập những thông tin nhận dạng nói trên, quyền riêng tư của bạn chẳng khác gì con số không. Anh này cho biết, nhóm của anh đã quan sát thấy hầu hết các ứng dụng gửi thông tin nhận dạng đến các dịch vụ quảng cáo - một hành vi vi phạm ngang nhiên các chính sách của Google - và đã báo cáo kết quả nghiên cứu được cho Google vào hồi tháng 9 năm ngoái.
Chính sách của Google cho phép các nhà phát triển được thu thập thông tin nhận dạng nhưng cấm họ không được kết hợp Advertising ID với ID của phần cứng khi chưa được sự chấp thuận của người dùng, hoặc cấm sử dụng các thông tin nhận dạng không thể bị reset để hướng quảng cáo đến người dùng. Hơn nữa, Google khuyến nghị các nhà phát triển chỉ nên thu thập duy nhất Advertising ID mà thôi.
Hành vi được khuyến nghị này phù hợp với lịch sử tạo dựng các quy chuẩn quyền riêng tư của ngành công nghiệp công nghệ mà ngày nay, nhiều nhà phát triển ứng dụng và website nhanh chóng tìm ra cách để qua mặt. Ví dụ, Adobe từng bị buộc phải giải quyết cookies của Flash vào năm 2011 sau khi xuất hiện nhiều lời than phiền rằng nhiều phần nhỏ của phần mềm này có thể tồn tại trong trình duyệt web của bạn ngay cả khi bạn đã xóa sạch mọi cookies. Những than phiền tương tự nổi lên vào năm 2014 liên quan việc Verizon và AT&T sử dụng một thứ gọi là "supercookies" có chức năng theo dõi người dùng trên nhiều thiết bị, và nó không thể bị xóa. Vào năm 2012, Microsoft từng buộc tội Google phá hoại chuẩn quyền riêng tư web P3P của họ, vốn cho phép người dùng trình duyệt Internet Explorer thiết lập các tùy chọn liên quan cookies (Google phản bác rằng tiêu chuẩn này không còn hữu dụng nữa).
Dữ liệu thu thập được bởi các ứng dụng di động buộc phải được rà soát kỹ càng hơn bởi sự bùng nổ của smartphone và tablet. Hồi tháng 1, cả Facebook lẫn Google đều bị phát hiện đã lợi dụng một công cụ nhà phát triển để qua mặt các quy tắc quyền riêng tư của Apple, dựng nên các ứng dụng iOS thu thập thông tin người dùng. Scandal Cambridge Analytica của Facebook vào năm 2018 và những tranh cãi khác xoay quanh vấn đề quyền riêng tư đã khiến chúng ta phải dò xét kỹ hơn về cách thức thu thập và sử dụng dữ liệu.
Nhóm của Egelman, vốn từng phát hiện ra khoảng 6.000 ứng dụng trẻ em thu thập dữ liệu trái quy định, cho biết vào hôm thứ 5 rằng các ứng dụng tên tuổi dành cho người lớn đang gửi những thông tin nhận dạng vĩnh viễn đến các dịch vụ quảng cáo. Các ứng dụng này bao gồm Angry Birds Classic - một trò chơi phổ biến trên smartphone, cũng như Audiobook by Audible và Flipboard. Clean Master, Battery Doctor và Cheetah Keyboard, tất cả các ứng dụng được phát triển bởi Cheetah Mobile, cũng bị phát hiện gửi thông tin vĩnh viễn của người dùng đến các mạng lưới quảng cáo.
Tất cả các ứng dụng này đều đã được cài đặt trên ít nhất 100 triệu thiết bị. Clean Master, một ứng dụng tiện ích bao gồm trình antivirus và các dịch vụ tối ưu hóa điện thoại, thậm chí còn được cài đặt trên 1 tỷ thiết bị!
Google đang làm gì
Google cho biết họ đã điều tra bản báo cáo của Egelman và "ra tay" với một số ứng dụng. Hãng từ chối cung cấp số lượng cụ thể các ứng dụng đã bị xử lý hoặc cách thức xử lý chúng, hoặc xác định chúng đã vi phạm những chính sách nào. Công ty nói rằng các chính sách của hãng cho phép thu thập thông tin nhận dạng phần cứng và Android ID phục vụ một số mục đích, như phát hiện lừa đảo, nhưng không phải cho việc hướng quảng cáo đến người dùng.
Google còn cho biết họ chỉ có thể ép thực hiện các chính sách khi các ứng dụng Android gửi thông tin nhận dạng đến những mạng lưới quảng cáo của riêng Google, như AdMob chẳng hạn. Nếu các ứng dụng gửi dữ liệu đến các mạng lưới bên ngoài, Google không thể giám sát chúng để phát hiện vi phạm.
"Chúng tôi tiếp nhận vấn đề rất nghiêm túc" - một người phát ngôn của Google nói - "Kết hợp Ad ID với thông tin nhận dạng thiết bị cho mục đích tối ưu hóa quảng cáo bị nghiêm cấm. Chúng tôi liên tục đánh giá các ứng dụng - bao gồm những ứng dụng bị liệt kê trong bản báo cáo của các nhà nghiên cứu - và sẽ ra tay khi chúng không tuân thủ các chính sách của chúng tôi".
Google có một loạt các sáng kiến với mục tiêu bảo vệ quyền riêng tư và an ninh cho người dùng. Trong một bài blog hôm thứ Tư, công ty nói rằng đã tăng số lượng các ứng dụng gây rối bị chặn khỏi Google Play Store lên 55% trong năm 2018.
Đại diện của Rovio, hãng phát triển series Angry Birds, và của Audible, không phản hồi lại yêu cầu bình luận.
Một người phát ngôn của Cheetah Mobile nói trong email rằng các ứng dụng của họ gửi Android ID của một thiết bị đến một công ty có chức năng giúp họ theo dõi lượt cài đặt của các sản phẩm của họ. Thông tin này không được sử dụng cho mục đích hướng quảng cáo, và công ty tuân thủ mọi chính sách và luật lệ liên quan của Google.
Người này nói thêm rằng phiên bản Battery Doctor được thử nghiệm bởi các nhà nghiên cứu đã lỗi thời; Cheetah Mobile đã cập nhật ứng dụng trong năm 2018 và nó không còn thu thập IMEI nữa.
Flipboard cho biết họ không sử dụng Android ID để hướng quảng cáo.
Hành vi thu thập dữ liệu mà Egelman và nhóm của anh phát hiện ra tương tự một vụ việc đã khiến Uber gặp rắc rối với Apple hồi năm 2015. Theo đó, CEO Apple là Tim Cook đã tức giận khi biết Uber thu thập thông tin nhận dạng phần cứng của người dùng iOS, đi ngược lại chính sách của Apple, và vị CEO này đã đe dọa loại bỏ ứng dụng Uber khỏi App Store.
Nhóm của Egelman đã thử nghiệm các ứng dụng trên Android 6, còn gọi là Marshmallow. Theo các số liệu từ Google vào tháng 10 năm ngoái, hơn một nửa tổng số thiết bị Android chạy Android 6 hoặc các phiên bản trước đó. Các nhà nghiên cứu đã tìm ra một phiên bản Android cho phép họ theo dõi thông tin nhận dạng nào mà một ứng dụng thu thập được và sau đó chạy hàng ngàn ứng dụng trên phần mềm đã được chỉnh sửa đó.
Egelman nói rằng thay đổi Advertising ID của bạn cũng tương tự như xóa lịch sử duyệt web vậy. Khi bạn xóa cookies, website bạn từng xem trong quá khứ sẽ không nhận ra bạn nữa. Điều đó ngăn chúng xây dựng dữ liệu về bạn qua thời gian.
Nhưng bạn không thể reset các thông tin nhận dạng khác, như địa chỉ MAC và IMEI. Địa chỉ MAC là một thông tin nhận dạng độc nhất mà thiết bị dùng cho việc kết nối vào các thiết bị mạng như router Wi-Fi chẳng hạn. IMEI là mã nhận dạng của một thiết bị cụ thể. Cả hai thông tin nhận dạng này đôi lúc có thể được sử dụng để ngăn các điện thoại bị đánh cắp truy xuất vào mạng di động. Android ID là một thông tin nhận dạng khác độc nhất với mỗi thiết bị. Nó có thể bị reset, nhưng chỉ khi bạn thực hiện factory reset thiết bị mà thôi.
Nếu các ứng dụng gửi bất kỳ thông tin nhận dạng nào nói trên đến các mạng lưới quảng cáo, thì dù bạn reset Advertising ID bao nhiêu lần đi nữa, chúng vẫn biết đó là bạn.
Sandy Bilus, một luật sư về quyền riêng tư và an ninh mạng tại Saul Ewing Arnstein & Lehr, cho biết các ứng dụng có thể đã vi phạm Quy định bảo vệ dữ liệu phổ quát (GDPR), một đạo luật của Liên minh châu Âu (EU) đòi hỏi các tổ chức phải cho người dùng biết mình sẽ bị thu thập những dữ liệu gì nếu chưa từng nêu rõ trước đó.
"Nó chắc chắn sẽ gặp phải các vấn đề GDPR" - Bilus nói - "Các nhà phát triển ứng dụng đang thu thập và sử dụng dữ liệu này nên cẩn thận về điều đó".
Lorrie Faith Cranor, giám đốc CyLab Usable Privacy and Security Laboratory tại Đại học Carnegie Mellon, cho biết Google có toàn quyền loại bỏ các ứng dụng sử dụng thông tin nhận dạng phần cứng và Android ID theo cách có thể vi phạm các chính sách của hãng.
Việc các nhà phát triển đang tìm những cách để giải quyết vấn đề xoay quanh Advertising ID cho thấy nhiều người đang reset thông tin nhận dạng này, ngay cả khi hầu hết người dùng không biết về tính năng quyền riêng tư này - Cranor nói.
"Nếu không, tại sao họ lại làm điều đó chứ?" - cô nói.
Tham khảo: CNET