Zoom, TikTok, Pitu và các smartphone gửi dữ liệu người dùng về Trung Quốc

Zoom gửi dữ liệu về Trung Quốc, CEO Eric Yuan lên tiếng

Zoom là phần mềm họp trực tuyến nhận được sự quan tâm lớn từ đầu năm 2020 do COVID-19 bùng phát. Song, ứng dụng này đang bị chỉ trích vì hàng loạt vấn đề về quyền riêng tư, như gửi dữ liệu người dùng trái phép cho Facebook, quảng cáo sai về tính năng mã hóa đầu cuối và cho phép chủ phòng họp ảo theo dõi người tham dự.

Các nhà nghiên cứu tại Đại học Toronto (Canada) tìm thấy các khóa mã hóa của Zoom được phát hành thông qua máy chủ ở Trung Quốc, ngay cả khi những người tham gia cuộc gọi ở bên ngoài lãnh thổ nước này.

"Khi kiểm tra cuộc gọi video qua Zoom với hai người ở Mỹ và một ở Canada, chúng tôi thấy khóa AES-128 để mã hóa và giải mã nội dung video được gửi tới một trong những máy chủ dường như nằm ở Bắc Kinh, địa chỉ IP 52.81.151.250", đại diện nhóm cho biết.

CEO Eric Yuan (sinh năm 1970 ở thị trấn Thái An, tỉnh Sơn Đông, Trung Quốc) cho biết Zoom cho biết đã "định tuyến nhầm" khiến các cuộc gọi video qua ứng dụng này được gửi tới máy chủ đặt tại Trung Quốc.

"Trong nỗ lực khẩn cấp nhằm giúp người dùng thế giới kết nối với nhau khi đại dịch, chúng tôi đã triển khai bổ sung máy chủ mới tại Trung Quốc. Tuy nhiên, chúng tôi đã thất bại trong việc phân chia hàng rào địa lý rõ ràng, khiến một số cuộc họp nhất định lại kết nối với các hệ thống ở Trung Quốc", CEO Zoom cho biết.

Eric Yuan thừa nhận không đánh giá đầy đủ tính bảo mật và quyền riêng tư cho ứng dụng họp trực tuyến của mình. Ông xin lỗi về các sự cố, nói công ty không thiết kế phần mềm với tầm nhìn xa là sẽ được đón nhận nhiều như hiện nay, đồng thời hứa khắc phục mọi thứ để lấy lại niềm tin từ người dùng.

Eric Yuan không đề cập số lượng người dùng cụ thể bị ảnh hưởng. Theo thông tin trên trang chủ Zoom, khi có lưu lượng truy cập lớn, ứng dụng họp trực tuyến này sẽ chuyển lưu lượng truy cập đến trung tâm dữ liệu gần nhất với dung lượng khả dụng lớn nhất. Song, các trung tâm dữ liệu của Zoom ở Trung Quốc sẽ không được sử dụng để định tuyến những cuộc gọi video của người dùng nếu họ không ở nước này. Điều này liên quan đến quyền riêng tư: Trung Quốc không thực thi các điều luật bảo vệ dữ liệu nghiêm ngặt, thậm chí có thể yêu cầu Zoom giải mã nội dung các cuộc gọi được mã hóa.

Theo thống kê, Zoom có khoảng 700 nhân viên tại Trung Quốc.

TikTok bị cáo buộc gửi dữ liệu cá nhân người dùng về Trung Quốc

Đầu tháng 12.2019, một sinh viên đại học ở California (Mỹ) trong vụ kiện tập thể đã cáo buộc ứng dụng TikTok chuyển dữ liệu người dùng cá nhân sang máy chủ ở Trung Quốc.

Các cáo buộc có thể làm tăng thêm những rắc rối pháp lý ở Mỹ với TikTok - ứng dụng thuộc sở hữu của công ty công nghệ ByteDance nhưng hoạt động hoàn toàn bên ngoài Trung Quốc.

Tik Tok đã phát triển mạnh mẽ và được thanh thiếu niên ở Mỹ yêu thích.

TikTok phải đối mặt với một cuộc thăm dò an ninh quốc gia của chính phủ Mỹ về những lo ngại lưu trữ dữ liệu và kiểm duyệt nội dung nhạy cảm liên quan đến chính trị.

Vụ kiện được đệ trình lên tòa án quận Bắc California mới đây cáo buộc TikTok đã lén lút chuyển một lượng lớn dữ liệu người dùng và nhận dạng cá nhân đến các máy chủ ở Trung Quốc.

Các tài liệu xác định nguyên đơn là Misty Hong, một sinh viên đại học và cư dân California đã tải xuống ứng dụng TikTok vào tháng 3 hoặc tháng 4.2019 nhưng chưa bao giờ tạo tài khoản.

Nhiều tháng sau, cô phát hiện rằng TikTok đã tạo một tài khoản mà cô không hề hay biết và lập hồ sơ thông tin cá nhân, bao gồm thông tin sinh trắc học lượm lặt được từ các video cô tạo nhưng không bao giờ đăng.

TikTok đã không trả lời ngay lập tức về các cáo buộc này và vẫn cho rằng họ lưu trữ tất cả dữ liệu người dùng ở Mỹ bằng các bản sao lưu tại Singapore.

Theo hồ sơ, TikTok đã chuyển dữ liệu người dùng đến hai máy chủ ở Trung Quốc là bugly.qq.com và umeng.com vào tháng 4.2019, bao gồm thông tin về thiết bị người dùng và bất kỳ trang web nào mà người dùng đã truy cập.

Bugly thuộc sở hữu của Tencent, công ty phần mềm di động lớn nhất Trung Quốc, và cũng là nhà sở hữu mạng xã hội WeChat. Trong khi Umeng là một phần của tập đoàn thương mại điện tử khổng lồ Alibaba Group.

Vụ kiện cũng tuyên bố rằng mã nguồn từ gã khổng lồ công nghệ Baidu được nhúng trong ứng dụng TikTok cũng là mã nguồn từ Igexin - một dịch vụ quảng cáo của Trung Quốc mà các nhà nghiên cứu bảo mật phát hiện vào năm 2017 cho phép các nhà phát triển cài đặt phần mềm gián điệp trên smartphone người dùng.

Ứng dụng chỉnh ảnh cổ trang Trung Quốc thu thập thông tin người dùng

Tháng 2.2017, các chuyên gia bảo mật Việt Nam cho rằng ứng dụng Pitu cho phép hóa thân thành các nhân vật cổ trang của Trung Quốc thu thập thông tin cá nhân của người dùng.

Thời điểm đó, trên các trang mạng xã hội như Facebook hay Instagram tràn ngập hình ảnh các nhân vật cổ trang của Trung Quốc với khuôn mặt của người dùng.

Với những hình ảnh lung linh, bắt mắt sau khi được chỉnh sửa, ứng dụng miễn phí của công ty Tencent (Trung Quốc) nhanh chóng được nhiều người tải về và trải nghiệm. Tuy nhiên, các chuyên gia bảo mật cảnh báo mọi người nên thận trọng khi cài Pitu. Lý do bởi Pitu không chỉ yêu cầu cung cấp một số quyền ưu tiên mà còn lén lút thu thập các dữ liệu nhạy cảm từ người dùng.

Theo kết quả phân tích sơ bộ file cài đặt, các chuyên gia bảo mật cho hay Pitu yêu cầu một số quyền truy cập thông tin trên thiết bị di động của người dùng vốn không cần thiết cho tính năng như:

- Quyền mở một kết nối Bluetooth đến một thiết bị khác.

- Quyền tự động mở một kết nối Wi-Fi.

- Quyền tạo và truy cập Internet.

- Quyền truy cập vào việc định vị vị trí của thiết bị (GPS).

- Quyền đọc thông tin của thiết bị (ID, các ứng dụng, IMEI, số điện thoại, các cuộc gọi…).

- Quyền kiểm tra các ứng dụng, chương trình đang chạy trên thiết bị.

- Quyền đọc và ghi vào bộ nhớ thiết bị, thay đổi cấu hình và dữ liệu của thiết bị.

- Quyền ghi lại các cuộc hội thoại.

Đáng chú ý là Pitu liên tục kết nối và gửi dữ liệu tới địa chỉ IP của các máy chủ đặt tại Trung Quốc như http://log.tbs.qq.com hay https://qpiksvr.xiangji.qq.com.

Ngoài ra, Pitu còn tự động tải về file tbs_res_imtt_tbs_release_tbs_core_3.0.0.1049_04302 4_20170120_170945.tbs từ máy chủ http://103.7.29.178/soft.tbs.imtt.qq.com.

Các chuyên gia nhận định, tính năng tự động tải file lạ của Pitu có thể sẽ gây hại cho thiết bị di động của người dùng khi tự động tải và chạy các phần mềm độc hại.

AdUps gửi đủ dữ liệu người dùng về Trung Quốc

Tin nhắn, thông tin cuộc gọi, số IMEI, vị trí... là những dữ liệu bị phần mềm gián điệp của AdUps thu thập và gửi về máy chủ Trung Quốc.

Tại hội nghị bảo mật Black Hat diễn ra tại Las Vegas (Mỹ) hôm 26.7.2017, hãng an ninh Kryptowrite đã công bố một số mẫu smartphone giá rẻ Trung Quốc vẫn tồn tại phần mềm cửa hậu (backdoor) của AdUps, liên tục đánh cắp và gửi dữ liệu về máy chủ Trung Quốc trong vòng 72 giờ.

AdUps từng bị phát hiện làm điều tương tự vào tháng 11.2016 trên hơn 700 triệu ĐTDĐ giá rẻ. Theo Ryan Johnson, người đứng đầu nhóm nghiên cứu, sự trở lại của mã độc này thậm chí nguy hiểm hơn, bởi nó đã được nâng cấp, có khả năng ẩn mình tốt hơn, khó phát hiện hơn rất nhiều lần.

Cuối năm ngoái, khi bị phát hiện trên một loạt smartphone giá rẻ, đại diện AdUps (tên đầy đủ là Shanghai AdUps Technology) đã đứng ra khẳng định hãng chỉ thu thập dữ liệu nhằm "nâng cao chất lượng dịch vụ dựa trên thói quen người dùng" và cho biết đã tự gỡ bỏ phần mềm trên cũng như xóa dữ liệu đã thu thập. Thế nhưng, sau gần 9 tháng, có vẻ như đây là lời hứa suông.

Dựa trên các câu lệnh thu thập được, Kryptowrite đã phân tích và chỉ ra các thông tin mà phần mềm cửa hậu của AdUps thu thập. Cụ thể:

- Tự động thu thập và gửi tin nhắn SMS, nhật ký cuộc gọi của người dùng đến máy chủ từ xa trong mỗi 72 giờ.

- Thu thập và gửi các thông tin liên quan đến định danh cá nhân (PII) đến máy chủ sau mỗi 24 giờ.

- Đánh cắp mã số định danh (IMSI) của sim và IMEI smartphone và gửi về máy chủ.

- Đánh cắp dữ liệu vị trí thông qua GPS.

- Thông tin, danh sách ứng dụng và dữ liệu của chúng được cài đặt.

- Lịch sử cài đặt ứng dụng.

- Tự động tải xuống, cập nhật và tự gỡ bỏ các ứng dụng một cách âm thầm mà không cần đến sự đồng ý của người dùng.

- Tự cập nhật firmware, tự cài đặt quyền quản trị cao nhất đối với smartphone.

- Bị cài phần mềm ẩn danh, cho phép thực thi các câu lệnh từ xa với quyền ưu tiên cao nhất.

Như vậy, nếu bị cài backdoor của AdUps, smartphone của người dùng đã bị chiếm quyền hoàn toàn. Mọi hoạt động, từ cuộc gọi, nội dung tin nhắn đến đường đi nước bước đều bị theo dõi. Việc loại bỏ hoàn toàn phần mềm độc hại này cực kỳ khó khăn bởi nó ăn sâu vào hệ thống.

Quân đội Mỹ cấm smaphone Huawei và ZTE; Xiaomi cũng dính phốt

Từ tháng 8.2018, các quân nhân tại mọi căn cứ quân sự Mỹ trên thế giới sẽ không thể mua smartphone và các thiết bị điện tử khác do hai hãng Huawei và ZTE của Trung Quốc sản xuất.

Bộ Quốc phòng Mỹ có yêu cầu toàn bộ hệ thống cửa hàng phục vụ trong quân đội không bán smartphone của Huawei và ZTE, cáo buộc những thiết bị này gây nguy cơ an ninh trong việc do thám hoặc theo dõi quân nhân.

Phát ngôn viên Lầu Năm Góc, ông Dave Eastburn nói: "Các thiết bị điện tử của Huawei và ZTE gây nguy cơ không thể chấp nhận với quân nhân, thông tin và nhiệm vụ".

Theo đó, ông Dave Eastburn cho biết hệ thống cửa hàng do quân đội quản lý tại các căn cứ quân sự Mỹ trên toàn thế giới sẽ ngừng bán các loại thiết bị này.

Cũng theo người phát ngôn Lầu Năm Góc, lệnh yêu cầu rút bỏ mọi thiết bị của Huawei được gửi đi ngày 25.4.2018 và có thêm quyết định rút bỏ thêm các loại ĐTDĐ của ZTE cùng sản phẩm liên quan.

Báo Wall Street cho hay Journal Lầu Năm Góc lo ngại chính phủ Trung Quốc theo dõi các quân nhân sử dụng đồ điện tử của Huawei và ZTE.

Trước đó, tháng 2.2018, ông Dan Coats, Giám đốc Cơ quan Tình báo Quốc gia Mỹ, cùng nhiều quan chức tình báo cấp cao khác của Mỹ, đã khuyến nghị người dân Mỹ không nên sử dụng các sản phẩm của Huawei, ZTE để phòng nguy cơ bị do thám và tấn công mạng.

Vào tháng 7.2014, hãng bảo mật F-Secure Antivirus công bố báo cáo cho biết smartphone Xiaomi Mi Note có hành vi tự động gửi những thông tin, dữ liệu cá nhân người dùng đến các máy chủ của hãng đặt tại Trung Quốc mà không hề đưa ra bất kỳ lời cảnh báo nào.

Đến tháng 9.2016, nhà nghiên cứu bảo mật Hà Lan có tên Thijs Broenink tiếp tục phát hiện ra ứng dụng AnalyticsCore được cài đặt bí ẩn trên smartphone Xiaomi MI4. Theo Thijs Broenink, ứng dụng này không chỉ thu thập thông tin mà còn có thể cho phép Xiaomi thực hiện từ xa một lệnh thực thi bất kỳ với thiết bị mà không cần người dùng có cho phép hay không...

Smartphone Samsung cũng gửi dữ liệu về Trung Quốc

Nhiều smartphone Samsung được phát hiện có gửi dữ liệu về Trung Quốc. Thế nhưng, hãng điện tử Hàn Quốc cho biết họ vẫn kiểm soát mọi thứ.

Sự việc được phát hiện lần đầu bởi người dùng Galaxy S10+ và được chia sẻ trên mạng xã hội Reddit vào tháng 1.2020. Thành viên kchaxcer tìm thấy dòng chữ Power by Qihoo 360 xuất hiện trong tính năng dọn dẹp bộ nhớ, thuộc mục Device Care trên chiếc Galaxy S10+.

Khi tìm hiểu, người này còn phát hiện tính năng nói trên yêu cầu thiết bị gửi dữ liệu đến một số website có tên miền Trung Quốc.

Điều này gây lo lắng, bởi Qihoo 360 vốn không phải là thương hiệu được đánh giá cao. Đây vốn là một công ty bảo mật, nhưng từng vướng scandal thu thập dữ liệu người dùng theo yêu cầu của chính phủ Trung Quốc.

Ngoài ra, ứng dụng diệt virus của Qihoo 360 cũng bị tố chơi xấu khi thường xuyên đưa ra các cảnh báo giả nhằm dụ người dùng tải phần mềm của họ.

Theo thành viên này, ứng dụng liên quan đến Qihoo 360 được cài sẵn trên rất nhiều smartphone Samsung ngay từ khi xuất xưởng. Do nằm trong tính năng dọn dẹp dữ liệu rác, ứng dụng này có thể quét toàn bộ các dữ liệu trên smartphone của người dùng. Trong khi đó, người dùng lại không thể gỡ bỏ Qihoo 360 trừ khi can thiệp sâu vào hệ thống.

"Chúng tôi trả tiền để mua thiết bị, nhưng tại sao lại phải đối mặt với các mối đe doạ đến từ Trung Quốc? Samsung làm ơn hãy hợp tác với một công ty uy tín hơn", thành viên kchaxcer viết.

Samsung đã đưa ra phản hồi chính thức của mình không lâu sau đó khi nói dữ liệu duy nhất được gửi cho Qihoo là các thông tin chung để phục vụ cho việc tối ưu lưu trữ, chẳng hạn phiên bản hệ điều hành, model điện thoại, dung lượng lưu trữ. Qihoo có vai trò là thư viện tham chiếu để xác định các file rác và sẽ không thể nhận dạng được một file cụ thể nào trên thiết bị của người dùng.

"Quy trình tối ưu lưu trữ bao gồm quét, xoá file rác, được quản lý hoàn toàn bởi Samsung", hãng này thông báo và khẳng định việc luôn luôn bảo vệ dữ liệu của người dùng.

Dẫu vậy, việc hợp tác với một công ty đến từ Trung Quốc vẫn gây ra những lo ngại với người dùng. Trên các diễn đàn, nhiều người dùng bày tỏ sự thất vọng với Samsung, bởi "ngay cả người Trung Quốc cũng không tin tưởng Qihoo 360, nhưng nó lại được chạy trên smartphone Samsung và bán ra trên toàn cầu".

Tại Việt Nam, các smartphone của Samsung cũng được cài tính năng Device Care (chăm sóc thiết bị) và được hỗ trợ bởi Qihoo 360.

Trào lưu chế clip với nhóm da màu vác quan tài nhảy múa. Xem chi tiết tại đây.