Một nhóm nghiên cứu do PGS David Choffnes thuộc Trường Khoa học máy tính và thông tin, Đại học Northeastern (Hoa Kỳ) đã phát hiện hiện tượng rò rỉ trên phạm vi rộng thông tin về người sử dụng - thiết bị và định danh người sử dụng, địa điểm và mật khẩu - vào lưu lượng mạng từ ứng dụng trên các thiết bị di động bao gồm iOS, Android và điện thoại chạy Windows. Ngoài ra, các nhà khoa học đã tìm ra cách ngăn chặn sự rò rỉ này.
Trong phòng thí nghiệm, các nhà nghiên cứu đã phát triển được một hệ thống đơn giản, hiệu quả dựa vào đám mây gọi là Recon với bộ 3 chức năng: phát hiện rò rỉ thông tin cá nhân hoặc PII; cảnh báo cho người dùng về các hành vi vi phạm; và cho phép người sử dụng kiểm soát rò rỉ thông tin bằng cách xác định những thông tin và đối tượng họ muốn ngăn chặn.
“Thiết bị của chúng ta trên thực tế lưu trữ mọi thứ về chúng ta: danh bạ liên lạc, vị trí và thông tin đủ để nhận dạng chúng ta vì mỗi thiết bị có một số định danh duy nhất gắn trong máy”, PGS Choffnes nói.
“Đa số lưu lượng mạng truyền tải không được bảo vệ bằng mật mã hoặc các phương tiện khác”, PGS Choffnes giải thích. Có vẻ như không vấn đề gì khi bạn gửi địa chỉ email của mình cho một ứng dụng chẳng hạn như để đăng ký nhận bản tin. Nhưng sẽ không ổn khi bạn nhập mật khẩu vào.
“Điều thực sự gây phiền toái là chúng ta thậm chí nhìn thấy rất nhiều ứng dụng gửi mật khẩu của bạn dưới dạng dễ đọc khi bạn đăng nhập vào”, PGS Choffnes nói. Trong một thiết lập WiFi công cộng, có nghĩa là bất cứ ai chạy “một số phần mềm khá đơn giản” có thể biết được.
Theo nghiên cứu Forrester thực hiện tháng 6.2015, người sử dụng điện thoại thông minh dành hơn 85% thời gian để sử dụng các ứng dụng. Nhưng có ít nghiên cứu về lưu lượng mạng của các ứng dụng vì trái ngược với hệ điều hành của máy tính xách tay và máy tính để bàn, hệ điều hành của các thiết bị di động rất khó phá.
Nhóm của PGS Choffnes đã thực hiện nghiên cứu với 31 người sử dụng thiết bị di động đều có 24 thiết bị iOS và 13 thiết bị Android và đã sử dụng Recon trong thời gian 1 tuần đến 101 ngày và sau đó theo dõi sự cố rò rỉ thông tin cá nhân của họ thông qua trang web an toàn của Recon.
Kết quả thật đáng báo động. “Đáng buồn, thậm chí trong nghiên cứu quy mô nhỏ này, chúng tôi đã phát hiện thấy 165 trường hợp thông tin bị rò rỉ dưới dạng dễ đọc”, các nhà nghiên cứu cho biết.
Trong số 100 ứng dụng hàng đầu trong kho ứng dụng của mỗi hệ điều hành mà những người tham gia đã sử dụng, hơn 50% ứng dụng làm rò rỉ định danh thiết bị, hơn 14% làm rò rỉ tên thật hoặc các định danh khác của người dùng, 14-26% tiết lộ vị trí và 3% cho biết mật khẩu dưới dạng dễ đọc. Ngoài những ứng dụng hàng đầu đó, nghiên cứu đã phát hiện ra những sự cố rò rỉ mật khẩu tương tự từ 10 ứng dụng bổ sung mà những người tham gia đã cài đặt và sử dụng.
Ngoài Map MyRun, các ứng dụng làm rò rỉ mật khẩu bao gồm ứng dụng ngôn ngữ Duolingo và Gaana, ứng dụng âm nhạc số của Ấn Độ. Cả 3 nhà phát triển ứng dụng này đã hạn chế sự cố rò rỉ. Nhưng, một số ứng dụng khác tiếp tục gửi mật khẩu dưới dạng văn bản dễ đọc vào lưu lượng mạng như ứng dụng hẹn hò phổ biến.
Hệ thống Recon dễ sử dụng. Những người tham gia cài đặt một mạng ảo cá nhân hay VPN (Vurtual Private Network) trên các thiết bị của họ, một quy trình dễ dàng gồm 6 hoặc 7 bước. Sau đó, VPN truyền tải an toàn dữ liệu của người sử dụng đến máy chủ của hệ thống, chạy phần mềm Recon xác định thời điểm và loại thông tin đang bị rò rỉ.
Để tìm hiểu hiện trạng thông tin về bản thân, những người tham gia chỉ cần đăng nhập vào trang web an toàn của Recon. Trên đó, họ có thể tìm thấy những công cụ như bản đồ Google xác định chính xác những ứng dụng nào đang phát hiện vị trí của họ cho đến những điểm đến khác và ứng dụng nào đang tiết lộ mật khẩu của họ vào lưu lượng mạng không được mã hóa. Người tham gia cũng có thể cho hệ thống biết những gì họ muốn.
“Một trong những lợi thế đối với cách tiếp cận của chúng tôi là bạn không phải nói cho chúng tôi biết thông tin của bạn, ví dụ mật khẩu, email hoặc giới tính” PGS Choffnes nói. “Hệ thống của chúng tôi được thiết kế để sử dụng các tín hiệu trong lưu lượng mạng nhằm tìm ra loại thông tin nào bị rò rỉ. Sau đó, phần mềm này sẽ tự động trích xuất những gì được nghi là thông tin cá nhân của bạn. Chúng tôi cho người sử dụng xem các kết quả và nói cho chúng tôi biết chúng tôi đúng hay sai. Điều đó cho phép chúng tôi liên tục điều chỉnh hệ thống, nâng cao độ chính xác của hệ thống”. Nghiên cứu đánh giá của nhóm đã cho thấy hệ thống Recon xác định rò rỉ thông tin với độ chính xác lên đến 98%.
Theo PGS Choffnes, “Những công cụ giám sát ứng khác sẽ cho bạn thấy bạn đang được theo dõi như thế nào, nhưng sẽ không cho phép bạn làm bất cứ điều gì. Và chúng chủ yếu tập trung theo dõi hành vi và chứ không phải thông tin cá nhân thực tế đang được gửi ra ngoài. Recon kiểm soát những thông tin về bạn đang được gửi qua mạng và phát hiện tự động khi thông tin của bạn bị rò rỉ mà không biết trước những thông tin đó”.
Nguồn: Tạp chí khoa học và công nghệ Việt Nam