Ứng dụng tiền điện tử phổ biến có liên quan đến Trình theo dõi dữ liệu: Báo cáo

Các phiên bản Android của ứng dụng tiền điện tử phổ biến Bitcoin Ticker Widget và bản sao có vẻ như của Steemit, Steemit Earn Money, bao gồm các công cụ bộ phát triển phần mềm (SDK) giúp trích xuất dữ liệu phong phú về người dùng trong quá khứ và có khả năng được liên kết với mã theo dõi vị trí từ X-Mode a công ty theo dõi dữ liệu khét tiếng, theo một báo cáo mới từ Express VPN Digital Security Lab. Hai ứng dụng tài chính cá nhân khác cũng được phát hiện có chứa các trình theo dõi dữ liệu này.

“Chúng tôi muốn nói với người tiêu dùng: ‘Đây là một vấn đề rất lớn; Sean O’Brien, nhà nghiên cứu chính tại Phòng thí nghiệm bảo mật kỹ thuật số ExpressVPN cho biết. “Mặc dù các ứng dụng này không phải là tất cả các thương hiệu lớn, nhưng các ứng dụng này đã được tải xuống 1,7 tỷ lần, tính chung và hàng triệu lần cho mỗi ứng dụng riêng lẻ. Họ đang chạy trên điện thoại của mọi người trong túi của họ. Mọi người đang sử dụng chúng để hẹn hò, xã hội và tài chính nhưng họ không nhận thức đầy đủ về lượng dữ liệu đang được thu thập. “

Trong khi có nhiều công ty mua và bán quyền truy cập vào dữ liệu vị trí được thu thập từ điện thoại của những người không nghi ngờ, X-Mode đã bị giám sát sau khi mối quan hệ của nó với các nhà thầu chính phủ và quân đội bị tiết lộ.

Vào tháng 11 năm 2020, Vice báo cáo X-Mode đang lấy lại dữ liệu vị trí chi tiết từ nhiều ứng dụng cầu nguyện của người Hồi giáo, sau đó bán dữ liệu đó “cho các nhà thầu và mở rộng là quân đội”.

Đọc thêm: Từ việc hoán đổi SIM đến các mối đe dọa xâm lược nhà, Rò rỉ sổ cái có hậu quả phân tầng

Báo cáo mới này, một cuộc điều tra sâu rộng hơn về vấn đề này, cho thấy mã X-Mode nằm trong 44% trong số 450 ứng dụng mà họ đã phân tích và những ứng dụng đó đã được tải xuống ít nhất một tỷ lần.

Báo cáo cho biết: “Các ứng dụng này có tính toàn cầu và bao gồm các ứng dụng sức khỏe cũng như thời tiết, trò chơi và bộ lọc ảnh trang điểm.

Trong khi Steemit Earn Money chỉ được tải xuống khoảng 100 lần, thì Bitcoin Ticker Widget đã được tải xuống hơn 1 triệu lần.

Vào tháng 12, Apple và Google đã yêu cầu các nhà phát triển xóa X-Mode khỏi ứng dụng của họ hoặc bị cấm khỏi các cửa hàng ứng dụng của họ, nhưng đến cuối tháng 1, báo cáo cho thấy nhiều ứng dụng vẫn chưa tuân thủ, điều này đã được TechCrunch xác nhận trong ít nhất là một trường hợp.

Nhìn chung, nghiên cứu đã kiểm tra 450 ứng dụng Android dành cho trình theo dõi dữ liệu.

SDK là công cụ nền tảng giúp các nhà phát triển tạo ứng dụng nhanh hơn và dễ dàng hơn. Điều đó đang được nói, những công cụ đó có thể chứa mã không cần thiết cho chức năng cốt lõi của một ứng dụng. Mã bổ sung này có thể theo dõi vị trí, trích xuất dữ liệu và nói chung chuyển tiếp thông tin trở lại người tạo SDK. Thông tin đó sau đó có thể được chia sẻ hoặc bán để sử dụng cho nhiều mục đích khác nhau.

Khi người dùng tải xuống một ứng dụng và chấp nhận các điều khoản dịch vụ và chính sách quyền riêng tư của ứng dụng đó, họ có thể vô tình chọn tham gia các hình thức thu thập dữ liệu này, ngay cả khi họ không được biết chính xác dữ liệu có thể thuộc về tay ai. Những cách làm này là phổ biến trong thế giới của quảng cáo nhắm mục tiêu nhưng, như đã được ghi nhận trước đó, dữ liệu cũng có thể nằm trong tay của cơ quan thực thi pháp luật (ngay cả khi không có trát), những người săn tiền thưởng và những người khác.

Đọc thêm: Cách một vụ kiện chống lại IRS đang cố gắng mở rộng quyền riêng tư cho người dùng tiền điện tử

O’Brien cho biết: “Bên trong X-Mode SDK, là các tham chiếu mã đến năm nhà cung cấp dữ liệu. “Đây là những thực thể khác mà mọi người thường gọi là ‘nhà môi giới dữ liệu’. Đôi khi họ đang bán dữ liệu thực tế và đôi khi thì không. Mặc dù nó hơi phức tạp, nhưng năm thực thể này về cơ bản là những thương hiệu nổi tiếng trong không gian giám sát vị trí này. “

O’Brien cho biết: “Điều dường như đang xảy ra vì những gì trong mã là các nhà cung cấp dữ liệu này có mối quan hệ kinh doanh nào đó với X-mode, hiện tại hoặc trước đây. “Và nếu chúng được bật trong các ứng dụng này, thì các nhà cung cấp đó cũng sẽ nhận được một số thông tin từ ứng dụng có SDK chế độ X”.

OneAudience, được bao gồm trong cả Tiện ích mã Bitcoin và Steemit Kiếm tiền, là một trình theo dõi “nhà môi giới dữ liệu” được tham chiếu trong mã của X-Mode như một phần của SDK. Nó là đối tượng của lệnh cấm và vụ kiện của Facebook về vi phạm quyền riêng tư dữ liệu vì dữ liệu SDK của OneAudience đang thu thập.

Vào tháng 2 năm 2020, Twitter và Facebook tuyên bố rằng “OneAudience đã thu thập dữ liệu cá nhân, chẳng hạn như tên, giới tính, email, tên người dùng và các tweet cuối cùng của mọi người” đến mức nó được so sánh với vụ bê bối Cambridge Analytica. SDK đã ngừng hoạt động vào cuối năm 2019.

Một trình theo dõi dữ liệu khác, Opensignal, chủ yếu hoạt động như một trình ánh xạ WiFi, qua đó có thể xác định vị trí của người dùng.

Trong vụ kiện chống lại OneAudience, theo Recode, Facebook lập luận rằng “OneAudience cũng trả tiền cho các ứng dụng để thu thập thông tin Google và Twitter của người dùng khi họ đăng nhập vào một trong những ứng dụng bị xâm phạm bằng thông tin tài khoản Google hoặc Twitter của họ.”

Đọc thêm: Phần mềm độc hại khó nắm bắt này đã nhắm mục tiêu đến ví tiền điện tử trong một năm

OneAudience, khi đóng SDK là đối tượng của vụ kiện, cho biết, “Chúng tôi được khuyên rằng thông tin cá nhân từ hàng trăm ID di động có thể đã được chuyển đến nền tảng OneAudience của chúng tôi. Dữ liệu này không bao giờ được dự định thu thập, không bao giờ được thêm vào cơ sở dữ liệu của chúng tôi và không bao giờ được sử dụng ”.

Mặt khác, mô hình kinh doanh của Opensignal chủ yếu phụ thuộc vào trường hợp sử dụng bản đồ Wi-Fi.

O’Brien hỏi: “” Câu hỏi đặt ra là họ đang truy cập bao nhiêu dữ liệu Wi-Fi? ”

Trong chính sách bảo mật của mình, Opensignal tuyên bố họ thu thập dữ liệu vị trí địa lý, “loại mạng, nhà khai thác mạng, cường độ và chất lượng tín hiệu di động và WiFi, cũng như số nhận dạng của các tháp di động và bộ định tuyến WiFi được kết nối”.

OneAudience đã không trả lời yêu cầu bình luận. Opensignal, để đáp lại một yêu cầu bình luận, đã hướng người đọc đến Điều lệ về Quyền riêng tư Dữ liệu của mình.

Quay lại và xem xét báo cáo và lưu lượng truy cập mạng từ các ứng dụng này, O’Brien có hai bài học lớn khi nói đến tác động đến quyền riêng tư dữ liệu của bạn.

Ông nói: “Thông thường dữ liệu không được xử lý tốt lắm. “Và có một lượng dữ liệu phong phú có thể được sử dụng làm mã nhận dạng cho một người đang đi qua đường ống, ngay cả khi vị trí là lý do duy nhất được đặt tên khiến dữ liệu được thu thập.”

Nếu bạn chọn tiếp tục sử dụng các ứng dụng như Bitcoin Ticker Widget và Steemit Earn Money, có nhiều cách để hạn chế khả năng theo dõi dữ liệu của chúng. O’Brien cho biết người dùng nên vào cài đặt và kiểm tra quyền đối với ứng dụng, đặc biệt là quyền vị trí và thu hồi chúng.

“Điều đó có thể có nghĩa là ứng dụng trở nên kém chức năng hơn hoặc hiển thị màn hình khó chịu yêu cầu sự cho phép,” ông nói. “Nếu không, thật không may, bước khác duy nhất là xóa ứng dụng. Nếu bạn là người California hoặc [European Union] cư dân, có thể có một số bước khác để thực hiện liên quan đến việc yêu cầu xóa thông tin hoặc ít nhất là yêu cầu một bản sao thông tin mà họ có. ”