Nhiều ứng dụng iPhone phổ biến bí mật ghi lại màn hình thiết bị
Có thể cho rằng, hầu hết các ứng dụng di động đang thu thập dữ liệu người dùng. Một số ứng dụng thậm chí còn kiếm tiền từ dữ liệu của người dùng, đây là điều mà hãng truyền thông TechCrunch đã công bố hồi tháng 9 năm 2018. Tuy nhiên, tệ hại hơn, TechCrunch vừa phát hiện, nhiều ứng dụng trên iPhone của các công ty lớn, từ khách sạn, trang web du lịch, hãng hàng không, hãng mạng di động cho tới các ngân hàng, tổ chức tài chính thậm chí còn biết chính xác người dùng đang sử dụng ứng dụng của họ như thế nào. Hơn thế, những ứng dụng này còn vô tình để lộ thông tin nhạy cảm như mật khẩu hay số thẻ tín dụng của người dùng.
Các ứng dụng đó sử dụng Glassbox, một dịch vụ phân tích trải nghiệm người dùng. Đây là dịch vụ mà một trong số nhiều công ty cho phép các lập trình viên nhúng công nghệ “phát lại phiên” (session replay) vào ứng dụng. Công nghệ này ghi lại màn hình của thiết bị rồi “phát lại”, từ đó biết được người dùng tương tác với ứng dụng như thế nào, tìm ra các vướng mắc của người dùng hay lỗi ứng dụng. Mọi thao tác nhấn phím đều được ghi lại và gửi cho các lập trình viên ứng dụng. Không ứng dụng nào thông báo cho người dùng biết đang ghi lại màn hình của họ trong chính sách quyền riêng tư, điều này hoàn toàn vi phạm các quy định của App Store. Hơn nữa, Apple còn yêu cầu các ứng dụng thực hiện việc ghi lại màn hình phải có một biểu tượng nhỏ màu đỏ ở góc trên bên trái màn hình để người dùng biết màn hình đang được ghi lại, tuy nhiên các ứng dụng này không có như vậy.
Ngoài Glassbox, có thể kể tới một loạt các công ty như Appsee đang tích cực quảng cáo về công nghệ ghi lại người dùng, cho phép lập trình viên xem xét ứng dụng qua con mắt của người dùng. Trong khi đó, UXCam cho biết có thể cho phép lập trình viên “xem các phiên làm việc của người dùng, bao gồm tất cả các thao tác và sự kiện”. Hầu hết những hành vi này diễn ra một cách âm thầm cho tới khi dịch vụ phân tích hành vi người dùng Mixpanel thu thập nhầm cả mật khẩu của người dùng khi chức năng mặt nạ bảo vệ bị lỗi. Vấn đề ghi lại màn hình ảnh hưởng đến cả người dùng Android vì công nghệ của Glassbox cũng có trên hệ điều hành này.
Một chuyên gia về ứng dụng di động có biệt danh trực tuyến là App Analyst đã phát hiện ra, ứng dụng trên iPhone của Air Canada không che dữ liệu đúng cách cho các phiên làm việc được ghi lại và gửi đi, làm lộ số hộ chiếu và dữ liệu thẻ tín dụng của người dùng. Trước đó vài tuần, Air Canada cho biết, ứng dụng của họ đã bị lộ lọt dữ liệu của 20 ngàn người dùng. Điều đó cho phép nhân viên của Air Canada và bất kỳ ai truy cập được vào cơ sở dữ liệu ghi lại màn hình có thể nhìn thấy số thẻ tín dụng và mật khẩu của người dùng. Đó là vì các trường quan trọng đã được che giấu nhưng lại không được che giấu trong tất cả các trường hợp.
App Analyst đã sử dụng Charles Proxy, một công cụ người-đứng-giữa để chặn bắt và xem xét dữ liệu được gửi từ các ứng dụng di động. Ông cho rằng, Hollister và Abercrombie & Fitch đã gửi dữ liệu ghi lại phiên làm việc của người dùng cho Glassbox, trong khi các công ty khác như Expedia và Hotels.com gửi những thông tin đó về máy chủ sử dụng tên miền của họ. Các dữ liệu hầu như đã được che giấu những thông tin quan trọng, nhưng lại nhìn thấy địa chỉ thư điện tử và mã bưu điện trong một số trường hợp. Nhà nghiên cứu cho biết, Singapore Airlines cũng thu thập dữ liệu ghi lại phiên làm việc nhưng sau đó gửi lại lên đám mây của Glassbox.
Nếu không có phân tích của các chuyên gia, thì người dùng không thể biết màn hình trong ứng dụng đang bị ghi lại. Trong chính sách về quyền riêng tư của các công ty đó cũng không đề cập đến điều này. Khi được hỏi, Abercrombie trả lời rằng, Glassbox giúp hỗ trợ một trải nghiệm mua sắm liền mạch, cho phép công ty xác định và giải quyết các vấn đề mà khách hàng có thể gặp phải. Chính sách về quyền riêng tư của Abercrombie và Hollister đều không đề cập đến việc ghi lại màn hình của người dùng. Singapore Airlines trả lời bằng thư điện tử, nói rằng những dữ liệu họ thu thập tuân theo chính sách về quyền riêng tư của công ty, trong đó bao gồm việc sử dụng dữ liệu khách hàng cho việc kiểm thử và sửa lỗi và được chỉ ra trong Điều 3 của chính sách về quyền riêng tư của hãng. Tuy nhiên, khi kiểm tra lại, điều này có vẻ không chính xác.
Theo App Analyst, người dùng có thể chặn việc ghi lại màn hình ứng dụng di động của Air Canada bằng cách chặn các kết nối tới địa chỉ glassbox.aircanada.ca, thông qua việc thiết lập DNS của bộ định tuyến.
Nguyễn Anh Tuấn
Tổng hợp