Nếu ai đó biết mọi ứng dụng có trên điện thoại của bạn

 (peabee.substack.com)
2 điểm bởi GN⁺ 2025-03-30 | Chưa có bình luận nào. | Chia sẻ qua WhatsApp
  • Cho đến vài năm trước, ứng dụng Android có thể xem danh sách toàn bộ ứng dụng đã cài đặt mà không cần sự cho phép của người dùng
  • Từ Android 11 (áp dụng từ năm 2022), Google đã giới thiệu chính sách hiển thị gói nhằm hạn chế quyền truy cập của nhà phát triển vào danh sách ứng dụng đã cài đặt
  • Ngoại lệ, các ứng dụng có chức năng cốt lõi như quản lý tệp, trình duyệt, ứng dụng diệt virus có thể yêu cầu quyền QUERY_ALL_PACKAGES để xem toàn bộ danh sách ứng dụng
  • Nhà phát triển phải khai báo trong AndroidManifest.xml danh sách ứng dụng mà họ muốn kiểm tra

Cách các ứng dụng Ấn Độ sử dụng danh sách ứng dụng đã cài đặt

  • Tác giả đã cài nhiều ứng dụng Ấn Độ khác nhau trên một điện thoại Android phụ và phân tích tệp AndroidManifest.xml
  • Phần lớn ứng dụng chỉ kiểm tra những ứng dụng hợp lý phục vụ chức năng, như các ứng dụng thanh toán UPI
  • Tuy nhiên, một số ứng dụng khai báo rất nhiều ứng dụng, qua đó thu thập thông tin quá mức

Danh sách ứng dụng mà Swiggy truy vấn

  • Swiggy khai báo tới 154 tên gói ứng dụng
  • Bao gồm cả những ứng dụng không liên quan đến giao đồ ăn như Xbox, Playstation, Naukri, Upstox
  • Khả năng cao đây là để lập hồ sơ người dùng dựa trên dữ liệu hành vi khách hàng
  • Theo chính sách của Google, danh sách ứng dụng đã cài đặt được phân loại là dữ liệu cá nhân nhạy cảm

Danh sách ứng dụng mà Zepto truy vấn

  • Zepto khai báo nhiều hơn Swiggy, với 165 ứng dụng
  • Bao gồm các ứng dụng phổ biến ở gần như mọi danh mục như Netflix, Bumble, Binance
  • Zepto được biết là hiển thị mức giá khác nhau cho người dùng iOS và Android
  • Với thông tin này, họ cũng có thể áp dụng giá khác nhau giữa các nhóm người dùng Android

Việc truy vấn ứng dụng của app dành cho shipper

  • Các ứng dụng dành cho shipper của Swiggy và Zepto cũng truy vấn danh sách ứng dụng riêng
  • Zepto chủ yếu kiểm tra ứng dụng shipper của đối thủ
  • Swiggy còn đi xa hơn, truy vấn cả ứng dụng tài chính cá nhân, ứng dụng vay tiền, thậm chí cả game như Ludo King
  • Mức độ thu thập thông tin này gần như giám sát cả hoạt động giải trí của shipper

Các ứng dụng cho vay truy vấn ứng dụng quá mức

  • Kreditbee (50 triệu+ lượt tải): kiểm tra 860 ứng dụng
  • Moneyview (50 triệu+ lượt tải): kiểm tra 944 ứng dụng (xem toàn bộ danh sách tại GitHub link)
  • Bao gồm ứng dụng lịch, chiêm tinh, tín ngưỡng, mai mối, nông nghiệp và nhiều mặt khác của đời sống
  • Chúng dùng cách liệt kê thủ công từng ứng dụng để lách chính sách cấm QUERY_ALL_PACKAGES của Google

Trường hợp ngoại lệ về quyền của Cred

  • Cred là ứng dụng duy nhất sử dụng quyền QUERY_ALL_PACKAGES
  • Google tạm thời cho phép nếu chức năng giao dịch tài chính là cốt lõi
  • Tuy nhiên, các ứng dụng tài chính tương tự như PhonePe, Paytm lại không dùng quyền này
  • Cred cũng đang cung cấp dịch vụ cho vay, nên có khả năng vi phạm chính sách

Cách lách bằng bộ lọc "ACTION_MAIN"

  • Một số ứng dụng dùng bộ lọc intent ACTION_MAIN để nhận diện mọi ứng dụng có giao diện người dùng
  • Cách này cho phép gián tiếp xem danh sách ứng dụng đã cài đặt mà không cần quyền QUERY_ALL_PACKAGES
  • Kết quả thử nghiệm bằng một ứng dụng tự tạo cho thấy có thể lấy được toàn bộ danh sách ứng dụng theo cách này
  • Play Store lẽ ra phải chặn điều này, nhưng trên thực tế việc kiểm duyệt khá lỏng lẻo

Danh sách ứng dụng sử dụng bộ lọc

  • Ứng dụng dùng bộ lọc để kiểm tra app đã cài:

    • Astrotalk, Axis Mobile, Bajaj Finserv, BookMyShow, Cars24, Cure.fit, Fibe, Groww, Housing, Instamart, Ixigo, JioHotstar, KreditBee, KukuTV, LazyPay, Ludo King, Meesho, MoneyTap, Moneyview, Navi, NoBroker, Nykaa, Ola, PhonePe, PhysicsWallah, Slice, Spinny, Swiggy, Swiggy Delivery, Tata Neu, Zomato

  • Ứng dụng không dùng bộ lọc:

    • Airtel Thanks, Blinkit, Byju’s, MyGate, Dream11, Flipkart, HDFC Mobile, Healthify, INDmoney, MyJio, Paytm, PaisaBazaar, ShareChat, Unacademy, Vedantu, Zepto

  • Swiggy dùng cả bộ lọc lẫn cách khai báo trực tiếp (nên cách thu thập dữ liệu của họ thậm chí còn minh bạch hơn)

Các ứng dụng toàn cầu cũng khác nhau về việc dùng bộ lọc

  • Có dùng bộ lọc: Facebook, Instagram, Snapchat, Subway Surfers, Truecaller
  • Không dùng bộ lọc: Amazon, Spotify, X(Twitter), Discord, WhatsApp

Dữ liệu cài đặt ứng dụng nhạy cảm đến mức nào

  • Năm 2022, Vice đưa tin rằng dữ liệu về việc cài ứng dụng theo dõi chu kỳ kinh nguyệt đã được các nhà môi giới dữ liệu ở Mỹ mua bán
  • Như vậy, danh sách ứng dụng đã cài đặt có thể tiết lộ những thông tin nhạy cảm như niềm tin cá nhân, sức khỏe, tình trạng tài chính

Trường hợp Zepto sử dụng quyền SMS

  • Zepto yêu cầu quyền READ_SMS
  • Quyền này là bắt buộc khi dùng tính năng Zepto Postpaid, và trên thực tế ứng dụng có thể đọc SMS ngay cả khi người dùng không chủ động chọn
  • Tin nhắn từ Blinkit, Swiggy, Flipkart và các dịch vụ khác cũng có thể trở thành đối tượng bị phân tích

Kết luận

  • Phần lớn ứng dụng vẫn hoạt động trong phạm vi bình thường mà không yêu cầu quyền quá mức
  • Tuy nhiên, một số ứng dụng thu thập dữ liệu về app đã cài của người dùng thông qua kỹ thuật lách luật và liệt kê quá nhiều package
  • Người dùng cần nhận thức rằng thông tin này có thể bị lộ ra rất dễ dàng khi cài ứng dụng
  • Cuối cùng, dữ liệu này có thể được bán qua các nhà môi giới dữ liệu và sau đó dùng cho phân biệt giá hoặc nhắm mục tiêu quảng cáo

Bài viết liên quan

Chưa có bình luận nào.

Chưa có bình luận nào.