Kỹ sư dịch ngược code: TikTok không phải MXH, mà là malware thu thập hết dữ liệu điện thoại gửi về Trung Quốc

Tiếp tục câu chuyện vụ lùm xùm iOS 14 phát hiện ra Tiktok không chỉ theo dõi địa điểm hay nhiều dữ liệu riêng tư khác, mà còn copy gần như tất cả những gì người dùng gõ ra trên bàn phím điện thoại và gửi về máy chủ đang hot hai hôm nay. Một kỹ sư phần mềm có nickname ‘bangorlol’ đã bỏ thời gian dịch ngược mã nguồn của TikTok để nghiên cứu cách nó hoạt động, nghiên cứu những dữ liệu mà ứng dụng này thu thập từ điện thoại của những người dùng và cài đặt TikTok vào máy của mình.

TikTok thu thập tất cả những gì gọi là có giá trị trong smartphone của người dùng

Dịch sơ sơ bình luận của ‘bangorlol’ thì nó sẽ như thế này:

Cá nhân tôi có thể thêm thắt ít thông tin về việc này. Tôi đã dịch ngược code của ứng dụng, và cảm thấy tự tin khi khẳng định tôi hiểu cách ứng dụng này hoạt động như thế nào, hoặc chí ít là hiểu cách nó hoạt động vài tháng trước khi mò mẫm những dòng code của TikTok. Về cơ bản TikTok là một dịch vụ thu thập dữ liệu cá nhân được che đậy bởi tính năng xã hội hóa. Nếu trong ứng dụng đó có API thu thập dữ liệu người dùng, lấy hết dữ liệu trong điện thoại của bạn, thì chắc chắn bên chủ quản ứng dụng đó đang tận dụng hết khả năng của API này để thu thập những thông tin như dưới đây:

– Thông tin phần cứng: Thông tin CPU, số điện thoại, ID phần cứng, độ phân giải màn hình, dung lượng bộ nhớ, dung lượng RAM đang sử dụng…

– Những ứng dụng khác bạn đã cài vào máy. Thậm chí tôi còn thấy vài ứng dụng tôi đã gỡ khỏi máy nhưng vẫn hiện ra trong tài liệu phân tích mà TikTok thu thập.

– Tất cả những thông tin liên quan tới mạng internet: IP, Local IP, địa chỉ MAC của router, địa chỉ MAC của thiết bị, tên access point WiFi mà thiết bị đã kết nối…

– Nó còn biết được liệu máy đã root hay jailbreak hay chưa.

– Vài phiên bản ứng dụng TikTok mặc định ping vị trí địa điểm của người dùng thông qua GPS, khoảng 30 giây một lần. Cái này dùng để tag địa điểm khi tạo một đoạn video trên TikTok.

– TikTok tạo ra một địa chỉ local proxy server trên máy để “xử lý dữ liệu media”, nhưng vì không có bất kỳ tính năng bảo mật nào cho proxy server đó, nên rất dễ để chủ quản ứng dụng này lạm dụng nó.

Thứ đáng sợ nhất của tất cả những gì tôi liệt kê ở trên, đó là quá trình thu thập và lưu giữ dữ liệu cá nhân từ người dùng đều có thể tùy chỉnh từ xa. Trừ phi bạn có khả năng dịch ngược tất cả những thư viện gốc và theo dõi cụ thể được từng tính năng bị ẩn và xáo trộn bên trong mã code của ứng dụng. Thậm chí họ còn viết ra không ít những cơ chế bảo vệ để ngăn chặn người dùng dịch ngược code hoặc debug nó nữa kìa. Dễ đề cập nhất là nếu bạn phát hiện ra, hoặc chí ít là cố phát hiện ra cách TikTok hoạt động để thu thập dữ liệu cá nhân, ứng dụng sẽ thay đổi nhẹ cách mà nó vận hành để đánh lừa người dùng, qua đó tiếp tục thu thập dữ liệu. Tôi còn tìm thấy vài đoạn code trên bản TikTok Android cho phép tải một file dữ liệu .zip về máy, giải nén và chạy file binary bên trong. Gần như không có một lý do gì khiến một ứng dụng trên di động phải làm như thế cả.

Trên hết, TikTok trong một thời gian rất dài vẫn dùng kết nối HTTP REST API, lưu đầy đủ địa chỉ email chính, email phụ để lấy lại tài khoản và reset mật khẩu, chưa kể đến tên thật, ngày sinh nhật cùng nhiều dữ liệu cá nhân khác. Vài tháng trước khi tôi nghiên cứu TikTok, chỉ cần tấn công theo kiểu “Man in the Middle” ứng dụng này là hacker có thể đọc được hết những thông tin cá nhân đó.

Nguy hiểm là thế, nhưng tại sao TikTok vẫn có cả trăm triệu người dùng? Trên lý thuyết nó vẫn là một mạng xã hội. Nó mồi chài người dùng với cảm giác được “viral” để câu kéo người dùng ở lại nền tảng đó. Bài post đầu tiên trên TikTok sẽ có kha khá lượt like, không quan trọng nó hay đến mức nào hoặc dở cỡ nào, dĩ nhiên lấy điều kiện bạn vượt qua được hàng chờ kiểm duyệt nội dung (moderation queue), nếu đến giờ TikTok vẫn ứng dụng giải pháp ấy. Hầu hết mọi người đều sẽ ghen tị với thành công của những người dùng TikTok khác và cứ cố gắng dùng ứng dụng, cố gắng tải những đoạn video mà họ nghĩ là hay ho lên nền tảng này.

À mà còn nữa, không thiếu những lão già bệnh hoạn có thể nhắn tin trực tiếp tới tài khoản TikTok của những đứa trẻ đang dùng ứng dụng này. Cá nhân tôi đã từng thấy cụ thể (và báo cáo hành vi sai lệch) vài thứ rất đáng nghi vấn. Những người đàn ông 40 – 50 tuổi nhắn tin gạ gẫm những cô bé 8 – 10 tuổi để hát chung những bản nhạc đầy tính gợi dục. Những đoạn video đó sau này được đăng tải công khai trên MXH này.

Vấn đề là, TikTok hoàn toàn không muốn người dùng biết dữ liệu họ thu thập được từ máy điện thoại của bạn nhiều cỡ nào, nhưng dựa vào bằng chứng tôi tìm thấy, khối dữ liệu đó là rất lớn. Họ mã hóa tất cả những đề xuất phân tích dữ liệu bằng một thuật toán thay đổi sau mỗi bản update ứng dụng, đơn giản chỉ để bạn không biết họ đang làm gì. Họ thậm chí còn có thể khiến ứng dụng không thể hoạt động bình thường nếu bạn chặn luồng dữ liệu trao đổi với máy chủ phân tích bằng cách đổi DNS.

Để cho công bằng, tôi cũng đã từng dịch ngược code của Instagram, Facebook, Reddit và Twitter. Khối lượng dữ liệu mà những ứng dụng đó thu thập từ người dùng không là gì so với TikTok, và chắc chắn họ cũng không cố gắng giấu diếm những dữ liệu được gửi về máy chủ như TikTok đang làm. Nó giống như so sánh ly nước với đại dương ấy.

Từ comment trên, chúng ta hiểu được những gì?

Thứ nhất, việc nghi ngờ TikTok thu thập trái phép dữ liệu của người dùng, những dữ liệu chẳng liên quan gì đến việc sử dụng MXH này, nhưng là những dữ liệu đắt giá đối với cả những đơn vị quảng cáo lẫn những bên muốn theo dõi người dùng di động không phải là mới nữa. Nhưng chúng ta bỗng nhiên quên mất một điều rằng, ứng dụng nào cũng sẽ thu thập dữ liệu người dùng, chứ chẳng riêng gì ứng dụng đến từ Trung Quốc này. Việc cáo buộc (có phần đúng đắn với đầy đủ bằng chứng đi kèm) một ứng dụng mạng xã hội Trung Quốc thu thập khối lượng lớn dữ liệu cá nhân khiến chúng ta quên đi rằng, ngay cả những ứng dụng MXH của người Mỹ phát triển cũng đang làm điều đó hàng ngày, hàng giờ, bất kỳ lúc nào anh em bật Facebook hay Twitter lên xem tin tức và cập nhật từ bạn bè. Không phải tự nhiên mà chính phủ Mỹ cũng đưa Facebook hay Google vào tầm ngắm khi cố gắng bảo vệ quyền riêng tư của người dùng các dịch vụ mạng internet.

Còn đối với Tiktok, đưa MXH này vào tầm ngắm không phải điều dễ dàng, vì chủ quản ứng dụng đó, ByteDance có trụ sở tại Bắc Kinh, Trung Quốc, và không dễ gì đòi hỏi việc hợp tác từ một startup công nghệ Trung Quốc. Câu chuyện quyền riêng tư chỉ là một mảnh ghép rất nhỏ trong toàn bộ những lùm xùm xoay quanh TikTok thời gian qua, từ việc lợi dụng nền tảng này để thực hiện hành vi cyberbully người dùng khác, ứng dụng gây nghiện với trẻ vị thành niên, hay những nguy cơ về an ninh quốc gia khác chưa được đề cập một cách cụ thể. Bản thân comment trên đây trên Reddit hoàn toàn không phải lần đầu tiên một kỹ sư phần mềm hay chuyên gia bảo mật lên tiếng cảnh báo về những gì TikTok đang làm.

Thứ hai, dù mang nhiều nguy cơ về mặt bảo mật và riêng tư như vậy, nhưng TikTok vẫn đang là một trong những ứng dụng hot nhất ở thời điểm hiện tại trên cả iOS lẫn Android. Vì sao lại như vậy? Lý do rất đơn giản, gần tỷ người dùng TikTok hâu hết không quan tâm (báo cáo gần nhất là 800 triệu người dùng Tiktok hàng ngày, 3 năm sau khi ứng dụng phát hành chính thức vào tháng 9/2016), vì họ bận tạo ra những đoạn clip âm nhạc hài hước để câu like và tương tác trên mạng xã hội này. Như người dùng Reddit đã phân tích ở trên, TikTok có thể là một mạng xã hội hay, tương tác tốt, nhưng khối lượng dữ liệu cá nhân mà nó thu thập thực sự đáng sợ.

Những người không thích dùng TikTok hoặc lo ngại đến những tác hại về quyền riêng tư mà ứng dụng này đem lại, đơn giản sẽ không cài đặt và sử dụng chúng. Thậm chí vài người khác còn cho rằng những clip và nội dung chia sẻ trên TikTok là nhảm nhí, nên cũng không dùng. Nhưng đối với những cô bé cậu bé đang thích sự chú ý, không có nền tảng nào hoạt động và phục vụ chúng tốt như TikTok, và về cơ bản, kiến thức và nhận thức về quyền riêng tư trên mạng internet đối với lứa tuổi nhỏ gần như không tồn tại.

Cái “takeaway” thứ 3, điều thứ ba chúng ta rút được ra từ comment ở đầu bài viết, đó là chẳng riêng gì những cô bé cậu bé vị thành niên, mà nhận thức về quyền riêng tư trên mạng internet của tuyệt đại đa số người dùng những dịch vụ mạng toàn cầu đều ở mức rất thấp. Đúng, không riêng gì TikTok, mà dịch vụ mạng xã hội nào anh em đang sử dụng cũng đều thu thập dữ liệu để phục vụ mục đích quảng cáo, thậm chí đôi khi trong vài trường hợp là phục vụ cả mục đích chính trị, như scandal giữa Facebook với Cambridge Analytica vài năm truớc, khi trang cá nhân của hàng triệu người được tổng hợp thông tin để định hướng dư luận trước khi kỳ bầu cử ở Mỹ diễn ra.

Khi nói đến chuyện “dữ liệu cá nhân bị thu thập”, chắc chắn không ai cảm thấy dễ chịu, nhưng cũng hiếm người chịu bỏ thời gian và công sức vọc vạch để tắt tính năng theo dõi địa điểm hay giới hạn những thứ họ chia sẻ trên MXH. Mà đối với chủ quản các ứng dụng, cũng chẳng sao cả vì nếu tắt những tính năng đó trong điện thoại, họ sẽ lại tìm được cách theo dõi vị trí người dùng thông qua việc thiết bị kết nối với WiFi nào, với cột phát sóng 4G ở đâu…

Ngày 27/2/2019, Ủy ban Thương mại Liên bang Mỹ đã phạt ByteDance 5,7 triệu USD vì thu thập dữ liệu cá nhân của trẻ dưới 13 tuổi, vi phạm Đạo luật Bảo vệ quyền riêng tư của trẻ em trên mạng internet. Có lẽ đó là bằng chứng rõ ràng nhất cho những gì TikTok đã (và rất có thể là vẫn đang) làm. Như comment trên đây, chỉ cần thay đổi một chút về thuật toán, là ByteDance với TikTok lại có thể tiếp tục thu thập dữ liệu cá nhân của gần 1 tỷ người dùng trên toàn thế giới, mà rất ít người có thể hiểu được cách mà nó vận hành.

Lo ngại đầu tiên là dữ liệu của người dùng TikTok sẽ được sử dụng để bán cho các bên quảng cáo, giúp hiển thị quảng cáo đúng đối tượng hơn. Đôi khi mọi thứ sẽ chỉ đơn giản như vậy, nhưng đôi khi mọi thứ sẽ phức tạp hơn rất nhiều, khi một ứng dụng đến từ Trung Quốc liệu có chỉ thu thập dữ liệu để phục vụ marketing hay không, hay còn những tham vọng khác như kiểm soát người dùng toàn thế giới phía sau, liên quan tới cả những thế lực ở vị trí cao hơn, thông qua mức độ “gây nghiện” từ những đoạn clip viral chia sẻ trên ứng dụng gọi là mạng xã hội này?

TIN MỚI