Dữ liệu điện thoại của hàng triệu người bị lộ vì… phần mềm quản lý con

Từ lỗ hổng lộ email

TechCrunch dẫn thông tin từ một nhà nghiên cứu bảo mật cho hay, lỗ hổng này cho phép bất kỳ ai truy cập dữ liệu cá nhân gồm: tin nhắn, ảnh, nhật ký cuộc gọi bị rò rỉ từ bất kỳ điện thoại hoặc máy tính bảng nào bị Cocospy và Spyic xâm phạm. Hai ứng dụng theo dõi di động này tuy có thương hiệu khác nhau nhưng phần lớn có cùng mã nguồn. Chưa hết, lỗi này cũng làm lộ địa chỉ email của những người đã đăng ký Cocospy và Spyic với mục đích cài ứng dụng vào thiết bị của người khác để theo dõi họ một cách bí mật.

Giống như các loại phần mềm theo dõi khác, các sản phẩm như Cocospy và Spyic được thiết kế để ẩn trên thiết bị của nạn nhân trong khi vẫn bí mật và liên tục tải dữ liệu của thiết bị của họ lên bảng điều khiển mà người cài ứng dụng có thể nhìn thấy. Do bản chất của phần mềm theo dõi có thể ẩn nên phần lớn chủ sở hữu điện thoại có thể không biết rằng thiết bị của họ đã bị xâm phạm. Khi phóng viên của tờ TechCrunch tìm cách liên lạc, các nhà điều hành Cocospy và Spyic đã không trả lời yêu cầu bình luận về thông tin này và họ cũng không thông tin về việc sửa lỗ hổng này.

Và cũng do lỗ hổng này tương đối dễ khai thác nên TechCrunch không công bố thông tin chi tiết cụ thể vì những kẻ xấu có thể khai thác nó và tiếp tục làm lộ dữ liệu cá nhân nhạy cảm của những cá nhân có thiết bị đã bị Cocospy và Spyic xâm phạm. Tuy nhiên, theo nhà nghiên cứu bảo mật nói trên, sau khi thu thập được 1,81 triệu địa chỉ email của khách hàng Cocospy và 880.167 địa chỉ email của khách hàng Spyic bằng cách khai thác lỗ hổng này để thu thập dữ liệu từ máy chủ của các ứng dụng, ông đã cung cấp bộ nhớ đệm địa chỉ email cho Troy Hunt, người điều hành dịch vụ thông báo vi phạm dữ liệu Have I Been Pwned.

Troy Hunt là nhà tư vấn bảo mật web người Australia nổi tiếng về giáo dục cộng đồng và tiếp cận các chủ đề về bảo mật. Ông đã tạo và vận hành Have I Been Pwned -  một trang web tìm kiếm vi phạm dữ liệu cho phép người dùng kiểm tra xem liệu thông tin cá nhân của họ có bị xâm phạm hay không.

Trả lời phỏng vấn của TechCrunch, Troy Hunt cho hay, ông đã tải tổng cộng 2,65 triệu địa chỉ email duy nhất được đăng ký với Cocospy và Spyic vào Have I Been Pwned, sau khi ông xóa các địa chỉ email trùng lặp xuất hiện trong cả hai đợt dữ liệu. Troy Hunt cũng chia sẻ thêm rằng, giống như các vụ vi phạm dữ liệu liên quan đến phần mềm theo dõi trước đây, bộ nhớ đệm Cocospy và Spyic được đánh dấu là "nhạy cảm" trong Have I Been Pwned, nghĩa là chỉ người có địa chỉ email bị ảnh hưởng mới có thể tìm kiếm để xem thông tin của họ có trong đó hay không.

Lộ dữ liệu vì ...

Cocospy và Spyic là 2 sản phẩm mới nhất trong danh sách dài các sản phẩm theo dõi đã gặp sự cố bảo mật trong những năm gần đây, thường là do lỗi hoặc hoạt động bảo mật kém. Theo số liệu thống kê của TechCrunch, Cocospy và Spyic hiện nằm trong số 23 phần mềm thực hiện chức năng từ năm 2017 đã bị tấn công, vi phạm hoặc làm lộ dữ liệu cực kỳ nhạy cảm của khách hàng và nạn nhân trực tuyến.

Đáng chú ý, các ứng dụng theo dõi điện thoại như Cocospy và Spyic thường được bán dưới dạng ứng dụng kiểm soát của phụ huynh đối với con cái hoặc ứng dụng theo dõi nhân viên của công ty hay thậm chí là theo dõi vợ/chồng. Và do các ứng dụng theo dõi bị cấm trên các cửa hàng ứng dụng như App Store hoặc Google Play nên chúng thường được tải xuống trực tiếp từ nhà cung cấp phần mềm theo dõi. Do đó, các ứng dụng này thường yêu cầu quyền truy cập vật lý vào thiết bị Android hoặc IOS của người dùng để được cài đặt và thậm chí biết được cả mật mã thiết bị của người dùng. Trong trường hợp của iPhone và iPad, phần mềm theo dõi có thể khai thác dữ liệu thiết bị của một người được lưu trữ trong dịch vụ lưu trữ đám mây iCloud của Apple, yêu cầu phải sử dụng thông tin đăng nhập tài khoản Apple bị đánh cắp của họ.

Cho đến này, người ta biết rất ít về hoạt động của hai phần mềm theo dõi này, bao gồm cả người điều hành Cocospy và Spyic. Bởi lẽ, những kẻ điều hành phần mềm theo dõi thường cố gắng tránh sự chú ý của công chúng, do những rủi ro về mặt danh tiếng và pháp lý đi kèm với việc thực hiện các hoạt động giám sát. Nguồn tin từ hãng Reuters thì khẳng định, Cocospy và Spyic lần lượt ra mắt vào năm 2018 và 2019. Chỉ tính riêng số lượng người dùng đã đăng ký, Cocospy là một trong những phần mềm theo dõi lớn nhất hiện nay trên thế giới.

Các nhà nghiên cứu bảo mật Vangelis Stykas và Felipe Solferini, những người đã phân tích một số nhóm phần mềm theo dõi như một phần của dự án nghiên cứu năm 2022, đã tìm thấy bằng chứng liên kết hoạt động của Cocospy và Spyic với 711.icu, một nhà phát triển ứng dụng di động có trụ sở tại châu Á.

Và cuộc theo dõi ảo của TechCrunch

Trước khi thông tin công khai về vụ việc này, hồi tháng 2, TechCrunch đã cài đặt các ứng dụng Cocospy và Spyic trên một thiết bị ảo (cho phép chạy các ứng dụng trong hộp an toàn mà không cung cấp bất kỳ dữ liệu thực tế nào cho bất kỳ dịch vụ theo dõi nào). Đội ngũ kỹ thuật của TechCrunch đã phát hiện ra rằng, cả hai ứng dụng phần mềm theo dõi đều ngụy trang thành một ứng dụng "Dịch vụ hệ thống" có vẻ ngoài không rõ ràng dành cho các thiết bị Android, có vẻ như tránh bị phát hiện bằng cách hòa trộn với các ứng dụng tích hợp sẵn của Android.

“Chúng tôi đã sử dụng một công cụ phân tích mạng để theo dõi dữ liệu chảy vào và ra khỏi ứng dụng để hiểu cách thức hoạt động của phần mềm theo dõi này cũng như dữ liệu nào được chia sẻ và máy chủ được đặt ở đâu. Phân tích lưu lượng truy cập của chúng tôi phát hiện ứng dụng đã gửi dữ liệu thiết bị ảo của chúng tôi qua Cloudflare, một nhà cung cấp bảo mật mạng che giấu vị trí thực tế và máy chủ web của các hoạt động phần mềm theo dõi. Nhưng lưu lượng truy cập web cho thấy hai ứng dụng theo dõi đã tải một số dữ liệu của khách hàng như ảnh lên máy chủ lưu trữ đám mây được lưu trữ trên Amazon Web Services”.

Người phát ngôn của Amazon, Ryan Walsh cho biết, khi công ty nhận được báo cáo về các hành vi vi phạm tiềm ẩn, "chúng tôi sẽ hành động nhanh chóng để xem xét và thực hiện các bước nhằm vô hiệu hóa nội dung bị cấm", nhưng lại không đưa ra bằng chứng nào cho thấy rõ việc này hoặc liệu công ty có kế hoạch hành động chống lại hoạt động phần mềm gián điệp hay không. Còn Cloudflare đã không trả lời các câu hỏi của TechCrunch về các hoạt động của phần mềm theo dõi. Chưa hết, phân tích cũng cho thấy, khi sử dụng ứng dụng, máy chủ đôi khi sẽ phản hồi bằng thông báo trạng thái hoặc lỗi bằng một ngôn ngữ khác không phải tiếng Anh…