Kỹ sư dịch ngược code TikTok: Không phải mạng xã hội, mà là malware thu thập hết dữ liệu điện thoại
Tiếp tục câu chuyện vụ lùm xùm iOS 14 phát hiện ra Tiktok không chỉ theo dõi địa điểm hay nhiều dữ liệu riêng tư khác, mà còn copy gần như tất cả những gì người dùng gõ ra trên bàn phím điện thoại và gửi về máy chủ đang hot hai hôm nay. Mình đi tìm hiểu thêm thì phát hiện ra một bình luận trên mạng xã hội Reddit, qua đó một kỹ sư phần mềm có nickname trên MXH này là ‘bangorlol’ đã bỏ thời gian dịch ngược mã nguồn của TikTok để nghiên cứu cách nó hoạt động, nghiên cứu những dữ liệu mà ứng dụng này thu thập từ điện thoại của những người dùng và cài đặt TikTok vào máy của mình.
TikTok thu thập tất cả những gì gọi là có giá trị trong smartphone của người dùng
Dịch sơ sơ bình luận của ‘bangorlol’thì nó sẽ như thế này:
Cá nhân tôi có thể thêm thắt ít thông tin về việc này. Tôi đã dịch ngược code của ứng dụng, và cảm thấy tự tin khi khẳng định tôi hiểu cách ứng dụng này hoạt động như thế nào, hoặc chí ít là hiểu cách nó hoạt động vài tháng trước khi mò mẫm những dòng code của TikTok. Về cơ bản TikTok là một dịch vụ thu thập dữ liệu cá nhân được che đậy bởi tính năng xã hội hóa. Nếu trong ứng dụng đó có API thu thập dữ liệu người dùng, lấy hết dữ liệu trong điện thoại của bạn, thì chắc chắn bên chủ quản ứng dụng đó đang tận dụng hết khả năng của API này để thu thập những thông tin như dưới đây:
- Thông tin phần cứng: Thông tin CPU, số điện thoại, ID phần cứng, độ phân giải màn hình, dung lượng bộ nhớ, dung lượng RAM đang sử dụng…
- Những ứng dụng khác bạn đã cài vào máy. Thậm chí tôi còn thấy vài ứng dụng tôi đã gỡ khỏi máy nhưng vẫn hiện ra trong tài liệu phân tích mà TikTok thu thập.
- Tất cả những thông tin liên quan tới mạng internet: IP, Local IP, địa chỉ MAC của router, địa chỉ MAC của thiết bị, tên access point WiFi mà thiết bị đã kết nối…
- Nó còn biết được liệu máy đã root hay jailbreak hay chưa.
- Vài phiên bản ứng dụng TikTok mặc định ping vị trí địa điểm của người dùng thông qua GPS, khoảng 30 giây một lần. Cái này dùng để tag địa điểm khi tạo một đoạn video trên TikTok.
- TikTok tạo ra một địa chỉ local proxy server trên máy để “xử lý dữ liệu media”, nhưng vì không có bất kỳ tính năng bảo mật nào cho proxy server đó, nên rất dễ để chủ quản ứng dụng này lạm dụng nó.
Thứ đáng sợ nhất của tất cả những gì tôi liệt kê ở trên, đó là quá trình thu thập và lưu giữ dữ liệu cá nhân từ người dùng đều có thể tùy chỉnh từ xa. Trừ phi bạn có khả năng dịch ngược tất cả những thư viện gốc và theo dõi cụ thể được từng tính năng bị ẩn và xáo trộn bên trong mã code của ứng dụng. Thậm chí họ còn viết ra không ít những cơ chế bảo vệ để ngăn chặn người dùng dịch ngược code hoặc debug nó nữa kìa. Dễ đề cập nhất là nếu bạn phát hiện ra, hoặc chí ít là cố phát hiện ra cách TikTok hoạt động để thu thập dữ liệu cá nhân, ứng dụng sẽ thay đổi nhẹ cách mà nó vận hành để đánh lừa người dùng, qua đó tiếp tục thu thập dữ liệu. Tôi còn tìm thấy vài đoạn code trên bản TikTok Android cho phép tải một file dữ liệu .zip về máy, giải nén và chạy file binary bên trong. Gần như không có một lý do gì khiến một ứng dụng trên di động phải làm như thế cả.
Trên hết, TikTok trong một thời gian rất dài vẫn dùng kết nối HTTP REST API, lưu đầy đủ địa chỉ email chính, email phụ để lấy lại tài khoản và reset mật khẩu, chưa kể đến tên thật, ngày sinh nhật cùng nhiều dữ liệu cá nhân khác. Vài tháng trước khi tôi nghiên cứu TikTok, chỉ cần tấn công theo kiểu “Man in the Middle” ứng dụng này là hacker có thể đọc được hết những thông tin cá nhân đó.
Nguy hiểm là thế, nhưng tại sao TikTok vẫn có cả trăm triệu người dùng? Trên lý thuyết nó vẫn là một mạng xã hội. Nó mồi chài người dùng với cảm giác được “viral” để câu kéo người dùng ở lại nền tảng đó. Bài post đầu tiên trên TikTok sẽ có kha khá lượt like, không quan trọng nó hay đến mức nào hoặc dở cỡ nào, dĩ nhiên lấy điều kiện bạn vượt qua được hàng chờ kiểm duyệt nội dung (moderation queue), nếu đến giờ TikTok vẫn ứng dụng giải pháp ấy. Hầu hết mọi người đều sẽ ghen tị với thành công của những người dùng TikTok khác và cứ cố gắng dùng ứng dụng, cố gắng tải những đoạn video mà họ nghĩ là hay ho lên nền tảng này.
À mà còn nữa, không thiếu những lão già bệnh hoạn có thể nhắn tin trực tiếp tới tài khoản TikTok của những đứa trẻ đang dùng ứng dụng này. Cá nhân tôi đã từng thấy cụ thể (và báo cáo hành vi sai lệch) vài thứ rất đáng nghi vấn. Những người đàn ông 40 – 50 tuổi nhắn tin gạ gẫm những cô bé 8 – 10 tuổi để hát chung những bản nhạc đầy tính gợi dục. Những đoạn video đó sau này được đăng tải công khai trên MXH này.
Vấn đề là, TikTok hoàn toàn không muốn người dùng biết dữ liệu họ thu thập được từ máy điện thoại của bạn nhiều cỡ nào, nhưng dựa vào bằng chứng tôi tìm thấy, khối dữ liệu đó là rất lớn. Họ mã hóa tất cả những đề xuất phân tích dữ liệu bằng một thuật toán thay đổi sau mỗi bản update ứng dụng, đơn giản chỉ để bạn không biết họ đang làm gì. Họ thậm chí còn có thể khiến ứng dụng không thể hoạt động bình thường nếu bạn chặn luồng dữ liệu trao đổi với máy chủ phân tích bằng cách đổi DNS.
Để cho công bằng, tôi cũng đã từng dịch ngược code của Instagram, Facebook, Reddit và Twitter. Khối lượng dữ liệu mà những ứng dụng đó thu thập từ người dùng không là gì so với TikTok, và chắc chắn họ cũng không cố gắng giấu diếm những dữ liệu được gửi về máy chủ như TikTok đang làm. Nó giống như so sánh ly nước với đại dương ấy.
Từ comment trên, chúng ta hiểu được những gì?
Thứ nhất, việc nghi ngờ TikTok thu thập trái phép dữ liệu của người dùng, những dữ liệu chẳng liên quan gì đến việc sử dụng MXH này, nhưng là những dữ liệu đắt giá đối với cả những đơn vị quảng cáo lẫn những bên muốn theo dõi người dùng di động không phải là mới nữa. Nhưng chúng ta bỗng nhiên quên mất một điều rằng, ứng dụng nào cũng sẽ thu thập dữ liệu người dùng, chứ chẳng riêng gì ứng dụng đến từ Trung Quốc này. Việc cáo buộc (có phần đúng đắn với đầy đủ bằng chứng đi kèm) một ứng dụng mạng xã hội Trung Quốc thu thập khối lượng lớn dữ liệu cá nhân khiến chúng ta quên đi rằng, ngay cả những ứng dụng MXH của người Mỹ phát triển cũng đang làm điều đó hàng ngày, hàng giờ, bất kỳ lúc nào anh em bật Facebook hay Twitter lên xem tin tức và cập nhật từ bạn bè. Không phải tự nhiên mà chính phủ Mỹ cũng đưa Facebook hay Google vào tầm ngắm khi cố gắng bảo vệ quyền riêng tư của người dùng các dịch vụ mạng internet.
Còn đối với Tiktok, đưa MXH này vào tầm ngắm không phải điều dễ dàng, vì chủ quản ứng dụng đó, ByteDance có trụ sở tại Bắc Kinh, Trung Quốc, và không dễ gì đòi hỏi việc hợp tác từ một startup công nghệ Trung Quốc. Câu chuyện quyền riêng tư chỉ là một mảnh ghép rất nhỏ trong toàn bộ những lùm xùm xoay quanh TikTok thời gian qua, từ việc lợi dụng nền tảng này để thực hiện hành vi cyberbully người dùng khác, ứng dụng gây nghiện với trẻ vị thành niên, hay những nguy cơ về an ninh quốc gia khác chưa được đề cập một cách cụ thể. Bản thân comment trên đây trên Reddit hoàn toàn không phải lần đầu tiên một kỹ sư phần mềm hay chuyên gia bảo mật lên tiếng cảnh báo về những gì TikTok đang làm.
-Theo tinhte.vn