Rất nhiều ứng dụng iPhone nổi tiếng và được ưa chuộng như Facebook, Twitter, Instagram… đều khiến người dùng bị lộ dữ liệu danh bạ.

Mạng xã hội cho di động Path, và mới đây là Twitter đều đã thừa nhận lưu giữ danh bạ điện thoại của người dùng iPhone trong khoảng thời gian dài. Tuy nhiên, theo VentureBeat, con số này không dừng ở đó. Một loạt các ứng dụng nổi tiếng khác như Facebook, Foursquare, Foodspotting, Yelp, và Gowalla… đều gửi dữ liệu như tên thật, địa chỉ email và/hoặc số điện thoại từ danh bạ nội bộ của người dùng tới máy chủ.

Một số làm việc này không xin phép, và Instagram cũng như Foursquare chỉ thêm tùy chọn xin phép sau khi vụ Path bị phanh phui. Một số các công ty kể trên từ chối thừa nhận lưu trữ dữ liệu người dùng, nhưng bản thân việc chuyển hóa dữ liệu cũng khiến thông tin riêng tư trở nên dễ bị tổn thương.

Theo nhà phát triển Paul Haddad, các ứng dụng iPhone đang ăn cắp dữ liệu người dùng có tên trong danh sách dưới đây:

Ứng dụng gửi dữ liệu không cảnh báo

Foursquare: (vừa cập nhật bản mới ngày 14/2) đã gửi dữ liệu cá nhân mà không có cảnh báo, tương tự Path làm trước đó. Kể từ khi nâng cấp, Foursquare đã cảnh báo người dùng về việc tải dữ liệu, đồng thời tuyên bố trong quá trình tải lên, ứng dụng không lưu dữ liệu.

Ứng dụng gửi dữ liệu sau khi cảnh báo

Ứng dụng danh mục này gửi bản sao dữ liệu bao gồm địa chỉ email, họ tên và số điện thoại. Path là ứng dụng gửi đi nhiều thông tin nhất trong số các ứng dụng được Haddad thử nghiệm.

• Path: nhiều thứ bao gồm cả địa chỉ email.
• Instagram: email, số điện thoại, họ tên.
• Facebook: email, số điện thoại, họ tên.
• Twitter cho iOS: email, số điện thoại.
• Voxer: email, họ tên, số điện thoại.

Ứng dụng không gửi đi dữ liệu

Ứng dụng danh mục này dường như không gửi bất kì thông tin nào, nhưng đều có đường dẫn tới danh bạ trong iOS, đồng nghĩa về lí thuyết có thể lấy dữ liệu để sử dụng theo một cách hoàn toàn tự nhiên với các ứng dụng cần thông tin danh bạ. Có khả năng tương tác với ứng dụng sẽ truy cập dữ liệu và gửi đến máy chủ, tuy nhiên chưa có bằng chứng nào tìm thấy trong thử nghiệm, các ứng dụng gồm có: Google+, Fine Mi Friends, Skype, Yahoo Messenger, Quora, Textfree, AIM.

Điều đáng quan tâm chính là các nhà sản xuất ứng dụng có thể che giấu tên thật, số điện thoại và email trong suốt quá trình chuyển dịch, bảo vệ quyền riêng tư nhưng họ lựa chọn không làm điều này.

Các nhà sản xuất ứng dụng không quan tâm tới rủi ro?

Vì không có quyền truy cập máy chủ, rất khó xác định các ứng dụng kể trên có lưu trữ danh bạ mà không tiết lộ hay không, đây là hành vi phạm tội nghiêm trọng nhất vì nó biến danh bạ của bạn trở thành tài sản của bên thứ ba không được chấp chuận, đồng thời là nguy cơ bảo mật: nếu cơ sở dữ liệu của công ty bị tấn công, thông tin đó sẽ trở thành tài sản của hacker.

Nhiều công ty tuyên bố họ không phạm pháp, đại diện của Foursquare phát biểu với VentureBeat: “Chúng tôi không và không bao giờ lưu thông tin danh bạ. Khi một người tìm kiếm bạn bè trên Foursquare, chúng tôi truyền tải thông tin địa chỉ qua kết nối an toàn và không lưu lại gì.” Tuy nhiên, mọi ứng dụng liệt kê ở phía trên đều lựa chọn đường tắt, khiến dữ liệu của người dùng dữ liệu gặp nguy hiểm.

Nhà sản xuất ứng dụng Martin May, đồng sáng lập start-up Forkly giải thích các nhà phát triển nên tránh gửi dữ liệu cá nhân. Dữ liệu dù đã mã hóa chỉ được an toàn tới khi đến máy chủ của công ty, nơi dữ liệu được giải mã. Về điều này, khách hàng chỉ có thể hi vọng mỗi công ty sử dụng dữ liệu nhạy cảm trong những tình huống cần thiết, dù về lí thuyết, họ có thể làm điều họ muốn bất cứ lúc nào.

Apple không đưa ra bất cứ biện pháp phòng vệ nào cho người dùng

Tại sao các nhà sản xuất không sử dụng bất cứ phương pháp tiếp cận kĩ thuật an toàn nào để bảo vệ dữ liệu người dùng? Câu trả lời có thể là vì Apple cho phép hành vi tải lên toàn bộ danh bạ tiếp diễn. Apple không yêu cầu người phát triển ứng dụng phải xin phép người dùng trước khi tiếp cận danh bạ, hay đưa ra quy tắc nào về truyền tải và lưu trữ dữ liệu.

Nhà thiết kế giao diện Dustin Curtis quy mọi tội cho Apple: “Tôi hoàn toàn tin vấn đề này là thất bại của Apple, không phải của bất kì nhà phát triển nào.” Theo Curtis, có nhiều phần cài đặt cho phép mọi người kiểm soát tốt hơn các ứng dụng truy cập thông tin trong máy, nhưng Apple không cung cấp biện pháp bảo vệ danh bạ. Marco Arment, người viết ứng dụng Instapaper thì cảm thấy iOS cho mình quyền hạn truy cập danh bạ quá xa mà không cần người dùng cho phép: “Apple có thể, và nên đảm bảo người dùng không bị bất cứ ứng dụng nào đọc dữ liệu mà chưa có sự cho phép.” Theo anh, Apple nên thay API (giao diện lập trình ứng dụng) để yêu cầu cho phép.

Sự việc rùm beng này đã tới tai Chính phủ Mỹ. Quan chức Chính phủ đã chính thức lên tiếng “hỏi han” người duy nhất có thể đổ tội: Apple. Thành viên Quốc hội G.K. Butterfield và Henry Waxman viết trong thư gửi Tổng giám đốc Tim Cook: “Tai nạn làm dấy lên câu hỏi về liệu chính sách các nhà phát triển iOS có gặp hạn chế về bảo vệ thông tin người dùng iPhone và danh bạ của họ?” Apple cũng phải giải thích tại sao không đưa vào khả năng tắt chuyển hóa toàn bộ dữ liệu thông tin hay theo từng ứng dụng riêng biệt vào thiết bị.

Phát ngôn viên của Apple trả lời VentureBeat, cho biết “ứng dụng thu thập hay truyền tải dữ liệu danh bạ người dùng không được cho phép đã vi phạm quy định của chúng tôi. Chúng tôi luôn làm mọi thứ tốt hơn cho khách hàng, và đã làm được với dịch vụ địa điểm, bất cứ ứng dụng nào muốn truy cập dữ liệu đều phải được người dùng phê duyệt trong mọi phần mềm phát hành trong tương lai.”

Tuy nhiên, hướng dẫn của Apple không đề cập tới thông tin về việc mã hóa hay phân tán dữ liệu nhằm đảm bảo quá trình truyền tải an toàn. Hướng dẫn cũng không nhắc tới việc công ty có thể lưu dữ liệu trong máy chủ sau khi tải lên. Apple không bình luận gì về dự định tăng cường các biện pháp bảo mật để bảo vệ dữ liệu người dùng trong suốt quá trình tải lên.

Theo ICTnews/Venturebeat/TNW