Zalo, TikTok bị phát hiện tự động lấy dữ liệu từ bộ nhớ iPhone như thế nào?

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi WhiteHat News #ID:2112, 30/06/20, 11:06 AM.

  1. WhiteHat News #ID:2112

    WhiteHat News #ID:2112 WhiteHat Support

    Tham gia: 16/06/15, 03:06 PM
    Bài viết: 519
    Đã được thích: 72
    Điểm thành tích:
    48
    [Update 1/7] Không chỉ Tiktok, Zalo, có tới hơn 53 ứng dụng khác bị iOS 14 phát hiện đang thu thập dữ liệu clipboard mỗi khi người dùng thực hiện truy cập. Danh sách các ứng dụng bao gồm:
    Tin tức:
    – ABC News
    – Al Jazeera English
    – CBC News
    – CBS News
    – CNBC
    – Fox News
    – News Break
    – New York Times
    – NPR
    – ntv Nachricten
    – Reuters
    – Russia Today
    – Stern Nachrichten
    – The Economist
    – The Huffington Post
    – The Wall Street Journal
    – Vice News

    Game
    – 8 Ball Pool
    – AMAZE!!!
    – Bejeweled
    – Block Puzzle
    – Classic Bejeweled
    – Classic Bejeweled HD
    – FlipTheGun
    – Fruit Ninja
    – Golfmasters
    – Letter Soup
    – Love Nikki
    – My Emma
    – Plants vs Zombies Heroes
    – Pooking – Billiards City
    – PUBG Mobile
    – Tomb of the Mask
    – Tomb of the Mask: Color
    – Total Party Killer
    – Watermarbling

    Mạng Xã hội
    – TikTok
    – ToTalk
    – Truecaller
    – Viber
    – Weibo
    – Zoosk

    Ứng dụng khác:
    – 10% Happier: Meditation
    – 5-0 Radio Police Scanner
    – Accuweather
    – AliExpress Shopping App
    – Bed Bath & Beyond
    – Dazn
    – Hotels.com
    – Hotel Tonight
    – Overstock
    – Pigment – Adult Coloring Book to Color
    – Sky Ticket
    – The Weather Network
    Nguồn: Naked Security
    ------------------------------

    Khi mở Zalo, nhiều người dùng iOS 14 Beta nhận thấy máy hiện thông báo "Zalo pasted from...", thể hiện ứng dụng đang lấy dữ liệu từ bộ nhớ tạm của máy, làm dấy lên lo ngại về các vấn đề bảo mật cũng như quyền riêng tư của người dùng.

    Phiên bản iOS 14 Beta dành cho các thiết bị iPhone, iPad và iPod touch mới được Apple bổ sung thêm hàng loạt các tính năng bảo mật mới, một trong số đó là tính năng thông báo khi có ứng dụng truy cập vào bộ nhớ tạm của máy (bộ nhớ lưu trữ các dữ liệu văn bản, media được sao chép). Với tính năng này thì bất cứ khi nào có ứng dụng truy cập vào bộ nhớ tạm và thực hiện việc dán (paste) các dữ liệu thì iOS 14 sẽ hiển thị thông báo "[Ứng dụng] pasted from [ứng dụng]", có nghĩa là ứng dụng này đã sử dụng bộ nhớ tạm được sao chép từ ứng dụng gần nhất trước đó.

    Zalo01.jpg

    Zalo02.jpg

    Nhờ tính năng này mà mới đây, nhiều người dùng đã phát hiện ra việc hàng loạt ứng dụng, bao gồm hai ứng dụng được rất nhiều người sử dụng hiện nay là TikTok và Zalo, đã truy cập vào bộ nhớ tạm của máy và có thể lấy đi rất nhiều các thông tin nhạy cảm mà người dùng đã sao chép vào đó. Các thông tin này có thể là mật khẩu, số điện thoại, email hay thậm chí là mã thẻ ngân hàng.

    Với Zalo, thông báo trên hiện lên ngay cả khi người dùng chưa thực hiện lệnh "Dán" và lặp lại liên tục mỗi khi người dùng mở ứng dụng. Điều này khiến nhiều người dùng lo ngại, ứng dụng đã tự động lấy dữ liệu trên clipboard của máy dù chưa được sự đồng ý.


    Sau khi sao chép một đoạn văn bản từ ứng dụng Ghi chú, rồi mở app Zalo, iPhone liên tục đưa ra thông báo về việc Zalo đã "dán" nội dung này, nhưng không thể hiện nội dung đã được dán vào đâu và sử dụng như thế nào.

    Theo Trần Tuyên, chuyên gia IT đang làm việc tại Hà Nội, cho biết trên VnExpress, việc ứng dụng có thể lấy dữ liệu từ bộ nhớ tạm cho thấy, tính năng trên đã được Apple cho phép và không vi phạm các điều khoản của hãng. Tuy nhiên, các nhà phát triển ứng dụng cần chỉ rõ cho người dùng dữ liệu trên sẽ được sử dụng thế nào, để tránh những hiểu lầm không đáng có.

    Trong điều khoản sử dụng, Zalo yêu cầu quyền sử dụng những API hệ thống gồm: Đọc và ghi vào danh bạ điện thoại, Lấy vị trí hiện tại, Ghi dữ liệu ứng dụng lên thẻ nhớ, Truy cập Internet. Ứng dụng này cũng thu thập 4 dạng dữ liệu là Thông tin cá nhân được người dùng cung cấp (email, số điện thoại, chứng minh thư); Thông tin chung (cấu hình điện thoại, phiên bản Zalo); Thông tin về vị trí; Danh bạ điện thoại. Zalo khẳng định không sử dụng bất kỳ biện pháp nào để theo dõi nội dung tin nhắn hoặc theo dõi người dùng.

    Tuy nhiên, với việc ứng dụng tự động lấy dữ liệu từ clipboard, người dùng sẽ rất khó biết được dữ liệu của mình sẽ được sử dụng như thế nào. "Điều này tạo ra nhiều nguy cơ về mặt bảo mật, nếu các dữ liệu được copy đó là tên đăng nhập, mật khẩu, mã OTP ngân hàng", ông Võ Đỗ Thắng, Giám đốc trung tâm bảo mật Athena nhận định.

    Zalo hiện chưa đưa ra giải thích về vấn đề này. Ứng dụng nhắn tin do tập đoàn VNG phát triển hiện là một trong những nền tảng nhắn tin phổ biến nhất tại Việt Nam. Zalo từng thông báo đã có hơn 100 triệu người sử dụng vào năm 2018. Trên kho ứng dụng dành cho iOS, Zalo cũng là một trong những app được tải nhiều nhất tại Việt Nam, chỉ sau Facebook và Messenger.

    Với TikTok, mỗi khi người dùng bắt đầu gõ bất cứ thứ gì vào khung bình luận, ứng dụng này lập tức lấy dữ liệu từ bộ nhớ tạm, nhưng lại không dán các dữ liệu này vào. iOS 14 liên tục đưa ra cảnh báo TikTok đã truy cập dữ liệu từ bộ nhớ tạm này.

    Zalo03.jpg

    Ngay sau khi sự việc được "phanh phui", TikTok cũng đã có những phản hồi đầu tiên về vấn đề này. Công ty đứng đằng sau TikTok khẳng định ứng dụng không thu thập dữ liệu từ bộ nhớ tạm của máy. Thay vào đó, nền tảng này có một hệ thống tùy chỉnh giúp xác định và phát hiện xem có bất cứ ai đang thực hiện hành động spam liên tục hay không, điều này đã khiến cảnh báo của iOS 14 liên tục hiện ra. TikTok cũng cam kết sẽ không tự ý truy cập vào dữ liệu của bộ nhớ tạm trên máy người dùng nữa trong một bản cập nhật sắp tới.

    "Với TikTok, cảnh báo của iOS 14 là do một tính năng mà chúng tôi thiết kế để xác minh các hình vi spam liên tục. Chúng tôi cũng đã phát hành một bản cập nhật của ứng dụng trên App Store để loại bỏ tính năng chống spam này nhằm tránh bất cứ sự nhầm lẫn nào. TikTok cam kết bảo vệ quyền riêng tưcủa người dùng và chúng tôi luôn minh bạch về cách mà ứng dụng của chúng tôi hoạt động", đại diện phía TikTok cho biết.

    Theo báo cáo từ Telegraph, không chỉ Tiktok hay Zalo, rất nhiều ứng dụng khác cũng liên tục truy cập vào bộ nhớ tạm của smartphone, bao gồm AccuWeather, Overstock, AliExpress, Call of Duty Mobile, Patreon và cả Google News, PUBG Mobile, Wall Street Journal...

    Theo VnReview
     
    Last edited by a moderator: 01/07/20, 08:07 AM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  2. Vpschinhhang

    Vpschinhhang New Member

    Tham gia: 01/07/20, 12:07 AM
    Bài viết: 1
    Đã được thích: 0
    Điểm thành tích:
    1
    lấy đc của IOS cũng bá đó :D
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan