Các dòng điện thoại Android có thể theo dõi “âm chìm” trong quảng cáo

Điện thoại Android của bạn có thể đang nghe các đèn hiệu quảng cáo siêu âm mà bạn không biết.

Gần một năm sau khi nhà phát triển ứng dụng SilverPush tuyên bố sẽ khai tử phần mềm đe dọa quyền riêng tư của người sử dụng bằng âm thanh không nghe được nhúng vào quảng cáo truyền hình để theo dõi người dùng điện thoại một cách bí mật. Công nghệ này hiện trở nên phổ biến hơn bao giờ hết, với hơn 200 ứng dụng Android đã được tải xuống hàng triệu lần từ Google Play – theo một bài báo nghiên cứu được xuất bản gần đây.

Đèn hiệu siêu âm hoạt động âm thầm ngay cả khi không sử dụng ứng dụng
Vào tháng 4 năm 2015 chỉ có năm ứng dụng sử dụng phần mềm theo dõi của SilverPush thì tính đến tháng 1/2017, đã có 234 ứng dụng Android được tạo bằng bộ công cụ dành cho nhà phát triển phần mềm (SDK) có sẵn sở hữu tính năng này, theo bài báo được xuất bản bởi các nhà nghiên cứu từ Technische Universitat Braunschweig ở Đức. Điều đó cho thấy số lượng ứng dụng Android bị theo dõi âm thanh gia tăng đáng kể.

Các ứng dụng âm thầm lắng nghe đèn hiệu siêu âm, điều mà các nhà tiếp thị sử dụng như là một thiết bị công nghệ để nhận biết lúc nào người sử dụng điện thoại đang xem quảng cáo trên TV hay từ một thiết bị phát âm thanh khác. Theo các nhà nghiên cứu trích dẫn các số liệu chính thức của Google Play, một mẫu đại diện 5 trong 234 ứng dụng được tải xuống từ 2,25 triệu đến 11,1 triệu lần. Không một ứng dụng trong số này tiết lộ thông tin theo dõi trong chính sách bảo mật.

Erwin Quiring, một trong những nhà nghiên cứu có đề cập trong e-mail: “Ví dụ về SilverPush cho thấy công nghệ này có thể được sử dụng để theo dõi người dùng dễ dàng như thế nào. Bằng cách này, họ có thể theo dõi chính xác thói quen xem TV của người dùng ngay cả với các công nghệ phát sóng truyền thống. Trong tài liệu nghiên cứu của mình, chúng tôi đã xác định thêm ba rủi ro về quyền riêng tư có thể xảy ra với công nghệ này, ví dụ: theo dõi vị trí, thiết bị hành vi và thậm chí hủy ẩn danh người dùng Tor”.

Người sáng lập SilverPush, Hitesh Chawla, cho biết phát hiện này khiến ông ngạc nhiên vì công ty của ông đã từ bỏ mảng kinh doanh theo dõi quảng cáo vào cuối năm 2015.

Ông nói với Ars: “Chúng tôi tôn trọng quyền riêng tư của người tiêu dùng và không muốn xây dựng nền tảng kinh doanh của mình ở nơi có vấn đề về quyền riêng tư. Ngay cả khi đang hoạt động, SDK của chúng tôi không có trong hơn 10 đến 12 ứng dụng. Vì vậy, không có khả năng chúng tôi có mặt trong 234 ứng dụng kia. Mỗi khi một thiết bị cầm tay mới được kích hoạt với SDK, chúng tôi sẽ nhận được thông báo trên máy chủ của mình và thực tế chúng tôi đã không nhận được bất kỳ một sự kích hoạt nào trong sáu tháng nay”.

Tuy nhiên, các nhà nghiên cứu vẫn quả quyết và nói rằng tất cả 234 ứng dụng đều tích hợp SilverPush SDK. Điều đó có nghĩa là điện thoại đã cài đặt ứng dụng dù không hoạt động nhưng vẫn lắng nghe thông qua “đèn hiệu siêu thanh” mà chủ nhân của chúng không hề hay biết hoặc đồng ý. Trong khi các nhà nghiên cứu không thể tìm thấy bất kỳ đèn hiệu nào trong âm thanh TV, họ đã so sánh việc phát hiện phần mềm thành công với việc mò kim đáy bể và bỏ ngỏ khả năng báo đèn hiệu khi chúng được nhúng vào âm thanh TV. Kết quả được rút ra từ tập hợp 1,3 triệu ứng dụng Android được gửi tới dịch vụ quét tệp VirusTotal và kết quả là họ không chứng minh được mức độ phổ biến của tín hiệu báo nghe lén âm thanh trong các ứng dụng chạy trên thiết bị iOS của Apple.

Đại diện của Google cho biết các chính sách bảo mật được thực thi trên tất cả các ứng dụng có sẵn trên Google Play và yêu cầu các nhà phát triển “tiết lộ toàn diện cách một ứng dụng thu thập, sử dụng và chia sẻ dữ liệu người dùng, bao gồm các bên mà ứng dụng được chia sẻ.” Người đại diện đã không trả lời câu hỏi tiếp theo là “Tại sao không có ứng dụng nào trong số năm ứng dụng trên được trích dẫn trong kết quả nghiên cứu tiết lộ các chức năng SilverPush? Tại thời điểm bài đăng này xuất hiện, tất cả năm ứng dụng vẫn có sẵn trong Google Play.

Tương lai của “đèn hiệu âm thanh” với người sử dụng smartphone
“Đèn hiệu siêu âm” sở hữu tần số từ 18kHz đến 20kHz, tuy tai người không thể nghe được nhưng có thể phát hiện bởi hầu hết các micro của điện thoại. Bằng cách nhúng chúng vào âm thanh, các nhà tiếp thị có thể theo dõi nơi ở của người dùng, cách họ di chuyển khắp một cửa hàng, siêu thị. Người quảng cáo sử dụng công nghệ “đèn hiệu radio” của các công ty khác cũng có thể sử dụng việc theo dõi để đẩy quảng cáo hoặc phiếu giảm giá đến những người ở gần một cửa hàng hoặc dịch vụ nhất định. Các nhà nghiên cứu cho biết hai dịch vụ – Shopkick và Lisnr – sử dụng đèn hiệu siêu âm cho các mục đích hợp pháp và theo dõi người dùng minh bạch.

Bài báo này đã được xuất bản tại Hội nghị chuyên đề IEEE Châu u thường niên lần thứ 2 về Bảo mật và Quyền riêng tư và đã được trình bày vào tuần trước tại Paris, Pháp. Trong bài báo, các nhà nghiên cứu đề cập:

“Tóm lại, các nhà quảng cáo có thể có được hồ sơ người dùng chi tiết, toàn diện bằng cách tạo đèn hiệu siêu âm giữa thiết bị di động và thiết bị gửi âm thanh. Nghiên cứu điển hình của chúng tôi về ba công nghệ theo dõi siêu âm thương mại cho thấy rằng các cơ chế theo dõi được phác thảo trên lý thuyết không phải là mối đe dọa, và được triển khai tích cực như Shopkick và Lisnr hoặc ít nhất là đang trong quá trình triển khai như SilverPush”.

Kết luận
234 ứng dụng được phát hiện có chứa phần mềm SilverPush cùng với các tính năng vốn có, trong đó, nhiều ứng dụng đã được phát triển cho các công ty lớn như McDonald’s và Krispy Kreme. Hiện tại, có một số biện pháp đối phó, hạn chế hoặc ngăn chặn việc theo dõi như vậy. Đối với những người sử dụng phiên bản 6.0 trở lên, họ có thể vô hiệu hóa quyền truy cập của ứng dụng vào micrô của thiết bị. Đây là một điểm cần sự cho phép của người dùng, mặc dù nó có thể ngăn các tính năng hữu ích. Hơn cả, người dùng cũng nên hạn chế số lượng ứng dụng đã cài đặt.

Về lâu dài, các nhà cung cấp phần mềm chống vi-rút có thể thêm các tính năng phát hiện các đèn hiệu theo dõi trong quá trình quét định kỳ các ứng dụng đã cài đặt. Một giải pháp lâu dài khác là vận động các cơ quan quản lý chính phủ, Google, Apple và các công ty khác thực thi nghiêm ngặt việc tiết lộ rõ ràng và nổi bật về tất cả các hoạt động theo dõi dựa trên sóng siêu âm.

Nguồn: https://arstechnica.com/information-technology/2017/05/theres-a-spike-in-android-apps-that-covertly-listen-for-inaudible-sounds-in-ads/