TikTok tận dụng lỗi Android để thu thập dữ liệu

Cuộc điều tra trong 22 tháng phát hiện TikTok dùng nhiều biện pháp công nghệ cao để thu thập dữ liệu và chuyển về cho công ty mẹ ByteDance.

Tuần đầu tiên của tháng 8, Tổng thống Mỹ Donald Trump cho biết sẽ hoãn lệnh cấm TikTok tới ngày 15/9. Sau đó, ông Trump ban hành một sắc lệnh mới cấm mọi cá nhân và công ty thuộc quyền tài phán của Mỹ tiến hành giao dịch với ByteDance (công ty mẹ của TikTok), hiệu lực từ ngày 20/9.

Đại diện TikTok cho biết “bất ngờ” và sẽ kiện lại chính phủ Mỹ vì lạm dụng quyền lực. Theo China Daily, ByteDance là “nạn nhân” khi chính phủ Mỹ không thể cung cấp bằng chứng về những sai phạm của TikTok gây ảnh hưởng an ninh quốc gia tại thị trường này.

Ngày 11/8, một cuộc điều tra độc lập được Wall Street Journal công bố cho thấy TikTok đã xây dựng một lớp mã hóa đặc biệt có khả năng “lách luật” bảo mật thông tin Google. Từ đó, TikTok có thể xác định danh tính của từng người dùng và những dữ liệu quan trọng khác của họ. Được biết, TikTok đã tắt tính năng này từ tháng 11/2019.

Hàng triệu điện thoại đã bị thu thập dữ liệu

Phương pháp TikTok sử dụng còn được biết với cái tên “địa chỉ MAC” (Media Access Control address), một phương pháp phổ biến sử dụng trong ngành quảng cáo để phân phối nội dung đúng với từng khách hàng.

"Địa chỉ MAC" hữu ích trong ngành quảng cáo vì nó là thông tin không thể thay đổi hoặc làm mới, cho phép các nhà phát triển ứng dụng và các công ty bán hàng phân tích hành vi của người tiêu dùng mà không cần thông qua bất kỳ sự xin phép nào.

"Đó một cách theo dõi lâu dài mà ít người dùng biết, và cũng không cho họ quyền tắt tính năng đó đi", Joel Reardon, trợ ý giáo sư tại Đại học Calgary nói.

Đa số các ứng dụng di động đều muốn thu thập thông tin của người dùng, nhưng những nhà sản xuất điện thoại hoặc chủ quản kho ứng dụng như Google (CH Play) và Apple (App Store) có trách nhiệm bảo vệ dữ liệu người dùng không bị khai thác sai mục đích.

Theo thống kê từ AppCensus, chỉ 1% các ứng dụng Android thu thập dữ liệu "địa chỉ MAC" của người dùng. Trong khi đó, Apple đã khóa "địa chỉ MAC" của iPhone từ năm 2013, ngăn cho các ứng dụng của bên thứ 3 đọc mã nhận dạng người dùng. Google cũng làm điều tương tự vào năm 2015.

Tuy nhiên, TikTok đã lách luật bằng cách tạo ra một lớp mã hóa đặc biệt để thu thập dữ liệu "địa chỉ MAC" của hàng triệu người dùng Android. Quá trình thu thập dữ liệu trái phép diễn ra ít nhất trong 15 tháng, kết thúc vào 11/2019.

Google từ chối bình luận về lỗ hổng bảo mật "địa chỉ MAC" TikTok khai thác trên Android. Google cũng từ chối trả lời về việc những thư cảnh báo bảo mật về TikTok, đã được gửi đi từ tháng 11/2019 nhưng công ty này vẫn chưa xử lý vấn đề.

TikTok chối tội, Microsoft từ chối bình luận

Khi được hỏi về việc thu thập "địa chỉ MAC" trong suốt 15 tháng có mặt tại thị trường Mỹ, đại diện TikTok cho biết "phiên bản hiện tại không thu thập địa chỉ MAC".

Đáng lưu ý, TikTok đã gửi "địa chỉ MAC" và một số dữ liệu thiết bị khác về công ty mẹ ByteDance khi người dùng cài đặt và sử dụng lần đầu trên điện thoại suốt 15 tháng bước chân vào thị trường Mỹ, TikTok xóa tính năng này từ tháng 11/2019.

"Địa chỉ MAC" là một dãy số định danh không thể thay đổi của người dùng, giúp các nhà quảng cáo theo dõi hành vi trên Internet của họ. Thậm chí, khi người dùng xóa TikTok, reset lại máy, tải lại TikTok mới, địa chỉ MAC vẫn không thay đổi.

Đây là phương pháp thu thập dữ liệu bị cấm bởi Google Play Store, "hoạt động quảng cáo không được liên kết với bất kỳ mã số định danh giám sát, mà chưa có được sự đồng ý từ người bị theo dõi".

Điều tra độc lập của Wall Street Journal tiến hành từ 4/2018 đến 1/2020. Kết quả được công bố vào tháng 8, cho biết TikTok thu thập dữ liệu người dùng ngay lúc tải ứng dụng về, trước khi họ mở tài khoản mới và chấp nhận các điều khoản sử dụng.

Sau đó, toàn bộ dữ liệu người dùng được mã hóa thành một định dạng đặc biệt khó hiểu để truyền về ByteDance. "Mã hóa dữ liệu khiến đại đa số người dùng không biết TikTok đang làm gì trên thiết bị của họ", Nathan Good, nhân viên nghiên cứu tại Hội đồng quản lý Kỹ thuật số quốc tế nhận định.

"Tạo một lớp mã hóa để lấy dữ liệu, sau đó tiếp tục mã hóa dữ liệu đó để truyền về ByteDance. Đó có thể là một cách để bảo mật thông tin, nhưng tôi thấy có yếu tố không minh bạch ở đây", Reardon chia sẻ.

Như vậy, có bằng chứng rõ ràng TikTok đã thu thập trái phép dữ liệu người dùng Mỹ suốt 15 tháng, sau đó truyền về công ty mẹ ByteDance. Đại diện Microsoft khi nhận được thông tin đã từ chối bình luận về tương lai của thương vụ mua lại TikTok. Trước đó, công ty này cho biết "luôn ưu tiên cho an ninh và kinh tế Mỹ lên hàng đầu".Sen.Josh Hawley, thành viên tham gia điều tra của Wall Street

Journal, cho biết Google nên xóa TikTok ra khỏi Google Play Store.

"Có bằng chứng TikTok vi phạm các quy định bảo mật người dùng, đi ngược lại với nguyên tắc của Google. TikTok không nên có mặt trên Play Store nữa", Josh Hawley nói.

Google từ chối đưa ra bình luận cụ thể, công ty đang tích cực điều tra những bằng chứng được cung cấp trước khi thương vụ "một công ty Mỹ" mua lại TikTok có những bước chuyển biến tiếp theo.