7 Trong các ứng dụng điện thoại thông minh 10 Chia sẻ dữ liệu của bạn với các dịch vụ của bên thứ ba
Ảnh từ điện thoại thông minh được gắn thẻ địa lý ngay cả khi người dùng không biết. Người dùng điện thoại thông minh có thể điều chỉnh cài đặt quyền riêng tư của họ để giới hạn những người có thể xem các vị trí được gắn thẻ địa lý của họ. (Ảnh Tín dụng: Đồ họa Quân đội Hoa Kỳ)

Điện thoại di động của chúng tôi có thể tiết lộ rất nhiều về bản thân: nơi chúng ta sống và làm việc; gia đình, bạn bè và người quen của chúng ta là ai; làm thế nào (và thậm chí những gì) chúng ta giao tiếp với họ; và thói quen cá nhân của chúng ta. Với tất cả thông tin được lưu trữ trên chúng, không có gì đáng ngạc nhiên khi người dùng thiết bị di động thực hiện các bước để bảo vệ quyền riêng tư của họ, như sử dụng mã PIN hoặc mật mã để mở khóa điện thoại của họ.

Nghiên cứu mà chúng tôi và các đồng nghiệp đang thực hiện xác định và khám phá một mối đe dọa đáng kể mà hầu hết mọi người bỏ lỡ: Nhiều hơn 70 phần trăm of ứng dụng điện thoại thông minh đang báo cáo dữ liệu cá nhân cho các công ty theo dõi bên thứ ba như Google Analytics, API đồ thị của Facebook hoặc Crashlytics.

Khi mọi người cài đặt ứng dụng Android hoặc iOS mới, nó sẽ yêu cầu sự cho phép của người dùng trước khi truy cập thông tin cá nhân. Nói chung, điều này là tích cực. Và một số thông tin mà các ứng dụng này đang thu thập là cần thiết để chúng hoạt động chính xác: Ứng dụng bản đồ sẽ gần như không hữu ích nếu không thể sử dụng dữ liệu GPS để lấy vị trí.

Nhưng một khi ứng dụng có quyền thu thập thông tin đó, nó có thể chia sẻ dữ liệu của bạn với bất kỳ ai mà nhà phát triển ứng dụng muốn - cho phép các công ty bên thứ ba theo dõi bạn đang ở đâu, bạn di chuyển nhanh như thế nào và bạn đang làm gì.

Sự giúp đỡ và nguy hiểm của các thư viện mã

Một ứng dụng không chỉ thu thập dữ liệu để sử dụng trên chính điện thoại. Ví dụ, ứng dụng bản đồ gửi vị trí của bạn đến máy chủ do nhà phát triển ứng dụng điều hành để tính toán chỉ đường từ nơi bạn đến đích mong muốn.

đồ họa đăng ký nội tâm

Các ứng dụng có thể gửi dữ liệu ở nơi khác, quá. Cũng như các trang web, nhiều ứng dụng di động được viết bằng cách kết hợp các chức năng khác nhau, được mã hóa bởi các nhà phát triển và công ty khác, trong cái được gọi là thư viện của bên thứ ba. Những thư viện này giúp các nhà phát triển theo dõi sự tham gia của người dùng, kết nối với phương tiện truyền thông xã hộikiếm tiền bằng cách hiển thị quảng cáo và các tính năng khác, mà không phải viết chúng từ đầu.

Tuy nhiên, ngoài sự giúp đỡ quý báu của họ, hầu hết các thư viện cũng thu thập dữ liệu nhạy cảm và gửi nó đến các máy chủ trực tuyến của họ - hoặc cho một công ty khác hoàn toàn. Các tác giả thư viện thành công có thể phát triển hồ sơ kỹ thuật số chi tiết của người dùng. Ví dụ: một người có thể cấp cho một ứng dụng quyền để biết vị trí của họ và một ứng dụng khác truy cập vào danh bạ của họ. Đây là các quyền ban đầu riêng biệt, một cho mỗi ứng dụng. Nhưng nếu cả hai ứng dụng sử dụng cùng một thư viện bên thứ ba và chia sẻ các mẩu thông tin khác nhau, nhà phát triển của thư viện có thể liên kết các phần lại với nhau.

Người dùng sẽ không bao giờ biết, vì các ứng dụng không bắt buộc phải cho người dùng biết họ sử dụng thư viện phần mềm nào. Và chỉ có rất ít ứng dụng công khai chính sách của họ về quyền riêng tư của người dùng; nếu họ làm như vậy, thường là trong các tài liệu pháp lý dài sẽ không đọc, ít hiểu.

Phát triển Lumen

Nghiên cứu của chúng tôi tìm cách tiết lộ số lượng dữ liệu có khả năng được thu thập mà không có kiến ​​thức của người dùng và cung cấp cho người dùng quyền kiểm soát dữ liệu của họ nhiều hơn. Để có được một hình ảnh của những gì dữ liệu đang được thu thập và truyền từ điện thoại thông minh của mọi người, chúng tôi đã phát triển một ứng dụng Android miễn phí của riêng mình, được gọi là Giám sát quyền riêng tư Lumen. Nó phân tích các ứng dụng giao thông gửi đi, để báo cáo những ứng dụng và dịch vụ trực tuyến nào tích cực thu thập dữ liệu cá nhân.

Vì Lumen liên quan đến tính minh bạch, người dùng điện thoại có thể thấy thông tin được cài đặt ứng dụng thu thập trong thời gian thực và người mà họ chia sẻ những dữ liệu này. Chúng tôi cố gắng hiển thị chi tiết về hành vi ẩn của ứng dụng theo cách dễ hiểu. Đó cũng là về nghiên cứu, vì vậy chúng tôi hỏi người dùng liệu họ có cho phép chúng tôi thu thập một số dữ liệu về những gì Lumen quan sát thấy ứng dụng của họ đang làm hay không - nhưng điều đó không bao gồm bất kỳ dữ liệu cá nhân hoặc nhạy cảm nào. Quyền truy cập dữ liệu duy nhất này cho phép chúng tôi nghiên cứu cách ứng dụng di động thu thập dữ liệu cá nhân của người dùng và người mà họ chia sẻ dữ liệu ở quy mô chưa từng có.

Cụ thể, Lumen theo dõi những ứng dụng nào đang chạy trên thiết bị của người dùng, liệu họ có gửi dữ liệu nhạy cảm với quyền riêng tư ra khỏi điện thoại, trang web nào họ gửi dữ liệu tới, giao thức mạng họ sử dụng và loại thông tin cá nhân nào của mỗi ứng dụng gửi đến từng trang web. Lumen phân tích lưu lượng ứng dụng cục bộ trên thiết bị và ẩn danh những dữ liệu này trước khi gửi chúng cho chúng tôi để nghiên cứu: Nếu Google Maps đăng ký vị trí GPS của người dùng và gửi địa chỉ cụ thể đó đến maps.google.com, Lumen nói với chúng tôi, Google Maps đã nhận được Vị trí GPS và đã gửi nó tới maps.google.com tựa - không phải nơi người đó thực sự ở.

Trình theo dõi ở khắp mọi nơi

Hơn những người 1,600 đã sử dụng Lumen kể từ tháng 10 2015 cho phép chúng tôi phân tích nhiều hơn các ứng dụng 5,000. Chúng tôi phát hiện ra các trang web 598 có khả năng theo dõi người dùng cho mục đích quảng cáo, bao gồm các dịch vụ truyền thông xã hội như Facebook, các công ty internet lớn như Google và Yahoo và các công ty tiếp thị trực tuyến dưới sự bảo trợ của các nhà cung cấp dịch vụ internet như Verizon Wireless.

Chúng tôi thấy rằng nhiều hơn 70 phần trăm của các ứng dụng chúng tôi đã nghiên cứu được kết nối với ít nhất một trình theo dõi và phần trăm 15 trong số chúng được kết nối với năm hoặc nhiều trình theo dõi. Một trong bốn trình theo dõi thu hoạch được ít nhất một số nhận dạng thiết bị duy nhất, chẳng hạn như số điện thoại hoặc số điện thoại của nó Số IMEI 15 chữ số duy nhất dành riêng cho thiết bị. Số nhận dạng duy nhất rất quan trọng đối với các dịch vụ theo dõi trực tuyến vì chúng có thể kết nối các loại dữ liệu cá nhân khác nhau được cung cấp bởi các ứng dụng khác nhau với một người hoặc thiết bị. Hầu hết người dùng, ngay cả những người am hiểu quyền riêng tư, không biết về những thực tiễn ẩn đó.

Không chỉ là một vấn đề di động

Theo dõi người dùng trên thiết bị di động của họ chỉ là một phần của vấn đề lớn hơn. Hơn một nửa số trình theo dõi ứng dụng mà chúng tôi đã xác định cũng theo dõi người dùng thông qua các trang web. Nhờ kỹ thuật này, được gọi là theo dõi trên thiết bị đa cấp của Wap, các dịch vụ này có thể xây dựng một hồ sơ đầy đủ hơn về tính cách trực tuyến của bạn.

Và các trang web theo dõi cá nhân không nhất thiết phải độc lập với những người khác. Một số trong số chúng được sở hữu bởi cùng một thực thể công ty - và những người khác có thể bị nuốt chửng trong các vụ sáp nhập trong tương lai. Ví dụ: Bảng chữ cái, công ty mẹ của Google, sở hữu một số tên miền theo dõi mà chúng tôi đã nghiên cứu, bao gồm Google Analytics, Nhấn đúp chuột hoặc AdMob và thông qua chúng thu thập dữ liệu từ hơn% phần trăm ứng dụng chúng tôi đã nghiên cứu.

Danh tính trực tuyến của người dùng không được bảo vệ bởi luật pháp nước họ. Chúng tôi đã tìm thấy dữ liệu được chuyển qua biên giới quốc gia, thường kết thúc ở các quốc gia có luật riêng tư đáng ngờ. Hơn% phần trăm kết nối đến các trang theo dõi được tạo cho các máy chủ ở Hoa Kỳ, Anh, Pháp, Singapore, Trung Quốc và Hàn Quốc - sáu quốc gia đã triển khai công nghệ giám sát hàng loạt. Các cơ quan chính phủ ở những nơi đó có khả năng có quyền truy cập vào những dữ liệu này, ngay cả khi người dùng đang ở trong các quốc gia có luật riêng tư mạnh mẽ hơn chẳng hạn như Đức, Thụy Sĩ hoặc Tây Ban Nha.

Kết nối địa chỉ MAC của thiết bị với địa chỉ vật lý (thuộc ICSI) bằng Wigle.
Kết nối địa chỉ MAC của thiết bị với địa chỉ vật lý (thuộc ICSI) bằng Wigle. ICSI, CC BY-NĐ

Thậm chí đáng lo ngại hơn, chúng tôi đã quan sát các trình theo dõi trong các ứng dụng nhắm mục tiêu đến trẻ em. Bằng cách thử nghiệm các ứng dụng dành cho trẻ em 111 trong phòng thí nghiệm của chúng tôi, chúng tôi đã quan sát thấy rằng 11 trong số chúng đã rò rỉ một định danh duy nhất, Địa chỉ MAC, của bộ định tuyến Wi-Fi mà nó được kết nối. Đây là một vấn đề, bởi vì nó dễ dàng để tìm kiếm trực tuyến cho các vị trí thực tế được liên kết với các địa chỉ MAC cụ thể. Thu thập thông tin cá nhân về trẻ em, bao gồm vị trí, tài khoản và các số nhận dạng duy nhất khác, có khả năng vi phạm của Ủy ban Thương mại Liên bang quy tắc bảo vệ quyền riêng tư của trẻ em.

Chỉ cần một cái nhìn nhỏ

Mặc dù dữ liệu của chúng tôi bao gồm nhiều ứng dụng Android phổ biến nhất, nhưng đây chỉ là một mẫu nhỏ của người dùng và ứng dụng và do đó có thể là một tập hợp nhỏ tất cả các trình theo dõi có thể. Những phát hiện của chúng tôi có thể chỉ đơn thuần là vạch ra bề mặt của những gì có khả năng là một vấn đề lớn hơn nhiều kéo dài qua các khu vực pháp lý, thiết bị và nền tảng pháp lý.

Thật khó để biết người dùng có thể làm gì về điều này. Chặn thông tin nhạy cảm rời khỏi điện thoại có thể làm giảm hiệu suất ứng dụng hoặc trải nghiệm người dùng: Ứng dụng có thể từ chối hoạt động nếu không thể tải quảng cáo. Trên thực tế, việc chặn quảng cáo gây tổn thương cho các nhà phát triển ứng dụng bằng cách từ chối họ là nguồn thu nhập để hỗ trợ công việc của họ trên các ứng dụng, thường miễn phí cho người dùng.

Nếu mọi người sẵn sàng trả tiền cho các nhà phát triển cho các ứng dụng, điều đó có thể giúp ích, mặc dù đó không phải là một giải pháp hoàn chỉnh. Chúng tôi thấy rằng trong khi các ứng dụng trả phí có xu hướng liên hệ với các trang web theo dõi ít ​​hơn, chúng vẫn theo dõi người dùng và kết nối với các dịch vụ theo dõi của bên thứ ba.

ConversationMinh bạch, giáo dục và khung pháp lý mạnh mẽ là chìa khóa. Người dùng cần biết thông tin nào về chúng đang được thu thập, bởi ai và nó được sử dụng để làm gì. Chỉ sau đó, xã hội chúng ta mới có thể quyết định những biện pháp bảo vệ quyền riêng tư nào là phù hợp và đưa chúng vào vị trí. Phát hiện của chúng tôi và của nhiều nhà nghiên cứu khác có thể giúp xoay chuyển các bảng và theo dõi chính trình theo dõi.

Giới thiệu về tác giả

Narseo Vallina-Rodriguez, Giáo sư trợ lý nghiên cứu, Viện IMDEA Networks, Madrid, Tây Ban Nha; Nhà khoa học nghiên cứu, Mạng và Bảo mật, Viện Khoa học Máy tính Quốc tế có trụ sở tại, Đại học California, Berkeley và Srikanth Sundaresan, Nghiên cứu viên Khoa học Máy tính, Đại học Princeton

Bài viết này ban đầu được xuất bản vào Conversation. Đọc ban đầu bài viết.

Sách liên quan:

at Thị trường InnerSelf và Amazon