Cảnh báo điện thoại Android và iPhone bị do thám dữ liệu người dùng
- Bảo mật thông tin – Kẻ tàng hình trong thế giới số: 'Khóa tay' kẻ tàng hình (Bài 2)
- Tình báo Anh trộm dữ liệu cá nhân
- Cảnh báo về sự kém an toàn của dữ liệu cá nhân trên đám mây
Mới đây, Công ty bảo mật Kryptowire tình cờ phát hiện phần mềm được cài sẵn trong hàng trăm điện thoại Android ở thị trường Mỹ bí mật do thám và truyền toàn bộ nội dung tin nhắn, danh sách cuộc gọi, thông tin vị trí và dữ liệu khác của người dùng về hệ thống máy chủ đặt tại thành phố Thượng Hải của công ty Trung Quốc Shanghai Adups Technology Company - đơn vị cung cấp phần mềm chạy trên hơn 70 triệu điện thoại, ôtô và những thiết bị thông minh khác.
Nhà sản xuất điện thoại Mỹ BLU Products thông báo 120.000 điện thoại của họ bị ảnh hưởng và công ty cũng tiến hành cập nhật phần mềm hệ thống (firmware) để loại bỏ tính năng do thám. Sau khi nhận được báo cáo từ BLU Products, giới chức an ninh chính quyền Mỹ đang đặt nghi vấn phần mềm do thám này phục vụ mục đích quảng cáo hay tình báo của Trung Quốc?
Ngoài ra, Công ty điều tra số Nga Elcomsoft cũng tố cáo điện thoại iPhone tự động gửi lịch sử cuộc gọi của người dùng - bao gồm số điện thoại, ngày và giờ cũng như thời lượng cuộc gọi, danh sách cuộc gọi kể cả những cuộc gọi nhỡ - về hệ thống máy chủ Apple để lưu trữ trong 4 tháng nếu dịch vụ iCloud được kích hoạt.
Dữ liệu điện thoại Android bị chuyển bí mật về máy chủ ở Trung Quốc
Tom Karygiannis, Phó chủ tịch Kryptowire đặt trụ sở tại Fairfax bang Virginia (Mỹ) cho biết, người dùng hoàn toàn không được thông báo về phần mềm do thám cài sẵn trên điện thoại Android. Giới chức Adups giải thích: phần mềm được thiết kế để giúp 2 nhà sản xuất điện thoại ZTE và Huawei của Trung Quốc theo dõi hành vi người dùng nước này song không nhằm mục tiêu điện thoại ở thị trường Mỹ.
Trong nhiều năm qua, chính quyền Trung Quốc đặt ra một số quy định chặt chẽ buộc những công ty công nghệ hoạt động tại nước này sử dụng nhiều biện pháp để sàng lọc và giám sát sự sử dụng Internet cũng như theo dõi những cuộc trò chuyện trực tuyến của người dân. Trong khi đó, Lilly Lim, nữ luật sư đại diện cho Adups ở Palo Alto bang California (Mỹ), tuyên bố Adups không hề làm việc cho chính quyền Bắc Kinh!
Điện thoại giá rẻ BLU R1 HD. |
Samuel Ohev-Zion, Giám đốc điều hành BLU Products, báo cáo: "Rõ ràng là chúng tôi không hề được cảnh báo về phần mềm nhưng chúng tôi đã nhanh chóng khắc phục lổ hổng". Ohev-Zion cũng nói thêm: Adups đã cam kết với ông rằng họ đã xóa bỏ mọi thông tin thu thập từ khách hàng của BLU Products.
Theo tài liệu của Adups, phần mềm do thám được viết theo yêu cầu từ một nhà sản xuất điện thoại Trung Quốc (không được xác định) muốn giám sát dữ liệu cuộc gọi, nội dung tin nhắn và thông tin khác của người dùng ở nước này mà không nhằm vào thị trường Mỹ. Cũng theo Adups, công ty điện thoại sử dụng dữ liệu chỉ nhằm mục đích hỗ trợ khách hàng của họ. Còn theo nữ luật sư Lim, Adups chỉ cung cấp tính năng mà nhà phân phối điện thoại yêu cầu.
Điện thoại Android chạy phần mềm do Google phát triển và phân phối miễn phí cho các nhà sản xuất điện thoại tùy biến. Một quan chức Google xác nhận họ đã yêu cầu Adups loại bỏ tính năng do thám khỏi những điện thoại chạy các loại hình dịch vụ như Google Play Store.
Tuy nhiên, yêu cầu không bao gồm những thiết bị di động ở Trung Quốc - nơi có hàng trăm triệu người dùng điện thoại Android song cũng là nơi mà Google không hoạt động do lo ngại về vấn đề kiểm duyệt của chính phủ. Theo trang web của Adups, công ty cung cấp dịch vụ gọi là "big data" (dữ liệu lớn) nhằm giúp nhà sản xuất điện thoại nghiên cứu tâm lý khách hàng "để biết rõ hơn về những gì mà họ mong muốn sử dụng nhằm cung cấp dịch vụ tốt hơn".
Tom Karygiannis chỉ tình cờ phát hiện phần mềm do thám sau khi mua chiếc điện thoại giá rẻ BLU R1 HD để sử dụng trong chuyến đi công tác ở hải ngoại. Trong quá trình sử dụng, nhà nghiên cứu nhận thấy hoạt động mạng có dấu hiệu bất thường. Sau khi nhận thấy dữ liệu điện thoại được truyền về một hệ thống máy chủ mà Adups đăng ký ở Thượng Hải, Kryptowire nhanh chóng gửi báo cáo về sự việc đến Chính phủ Mỹ.
Marsha Catron, người phát ngôn cho Bộ An ninh Nội địa Mỹ (DHS), thông báo cơ quan mới nhận được cảnh báo từ Kryptowire và đang làm việc với các đối tác công và tư nhân để có biện pháp xử lý thích hợp. Kryptowire cũng là một nhà thầu đối tác của DHS và cũng hợp đồng phân tích cho BLU Products.
Về phần mình, Ohev-Zion tin rằng vấn đề do thám dữ liệu đã được giải quyết ổn thỏa cho khách hàng: "Hiện nay, không có thiết bị nào của BLU Products đang âm thầm thu thập thông tin người dùng".
Điện thoại iPhone bí mật gửi lịch sử cuộc gọi về cho Apple
Theo đánh giá của Giám đốc điều hành Elcomsoft Vladimir Katalov, việc Apple tự động lưu trữ dữ liệu trong tài khoản iCloud (dịch vụ "đám mây" do chính Apple quản lý) của người dùng trong thời hạn 4 tháng có thể tạo cơ hội cho chính quyền hay hacker khai thác. Ngoài ra, ứng dụng FaceTime gọi điện thoại âm thanh và video trên các thiết bị chạy iOS cũng được đồng bộ hóa tự động đến hệ thống máy chủ của Apple.
Tuy nhiên, với hệ điều hành mới nhất iOS 10 thì những cuộc gọi từ các ứng dụng bên thứ 3 như là Viber, Skype hay WhatsApp cũng được đồng bộ hóa đến tài khoản iCloud. Do Apple nắm giữ mã mở khóa các tài khoản iCloud cho nên lực lượng hành pháp chính quyền Mỹ có thể gây sức ép đến công ty để truy cập vào tài khoản iCloud của bất cứ người dùng nào để sử dụng thông tin cá nhân mà không cần phải có giấy phép từ tòa án.
Về phần minh, Elcomsoft cũng vừa mới tung ra bản cập nhật cho phần mềm bẻ khóa điện thoại Phone Breaker, công cụ được sử dụng để trích xuất dữ liệu lịch sử cuộc gọi từ các tài khoản iCloud.
Vladimir Katalov, Giám đốc điều hành Elcomsoft. |
Những công cụ điều tra số của Elcomsoft được sử dụng bởi lực lượng hành pháp, an ninh và cả môi trường công ty. Elcomsoft cũng cung cấp mã trích xuất dữ liệu cho Cellebrite - công ty Israel bắt tay với Cục Điều tra Liên bang Mỹ (FBI) để bẻ khóa iPhone và can thiệp vào dữ liệu iCloud mà không cần đến sự hợp tác từ Apple.
Năm 2014, hơn 100 nhân vật nổi tiếng thế giới trở thành nạn nhân của cuộc tấn công phishing (lừa đảo) cho phép hacker đánh cắp những hình ảnh nhạy cảm của họ từ tài khoản iCloud của Apple. Bọn tội phạm được cho là sử dụng công cụ của Elcomsoft để chiếm đoạt dữ liệu hình ảnh người nổi tiếng.
Người phát ngôn cho Apple tuyên bố trong một email: "Chúng tôi đề xuất tính năng đồng bộ hóa lịch sử cuộc gọi nhằm mang đến sự thuận tiện cho người dùng có thể trích xuất dữ liệu cuộc gọi từ bất cứ thiết bị iOS nào của họ. Nhưng dữ liệu thiết bị được mã hóa với mật khẩu người dùng và việc truy cập vào dữ liệu iCloud đòi hỏi phải có Apple ID và mật khẩu của người dùng. Do đó, Apple khuyên người dùng chọn mật khẩu mạnh và sử dụng biện pháp xác thực 2 lớp".
Chris Soghoian, trưởng ban công nghệ của Liên minh Dân quyền Mỹ (ACLU), nhận xét iCloud chính xác là "yếu điểm" về bảo vệ quyền riêng tư người dùng nền tảng iPhone. Jonathan Zdziaski, chuyên gia điều tra số về iOS và nhà nghiên cứu an ninh, cho rằng Apple cần phải minh bạch với người dùng về việc dữ liệu được thu thập và tự động lưu trữ trên "đám mây".
Theo Vladimir Katalov, mặc dù trong những năm gần đây Apple có nỗ lực tăng cường an ninh cho những thiết bị di động chạy nền tảng iOS của công ty, song vấn đề bảo mật dữ liệu trên iCloud xem ra vẫn còn kém. Vào khoảng đầu năm 2016, một báo cáo trên tờ Financial Times tiết lộ Apple có kế hoạch tái cấu trúc iCloud để bảo vệ dữ liệu khách hàng tốt hơn song hành động tích cực này cho đến nay vẫn chưa xảy ra.