Phát hiện thiết bị giám sát ắc quy ô tô Bluetooth đang lấy cắp dữ liệu vị trí

 (doubleagent.net)
2 điểm bởi GN⁺ 2023-06-27 | 1 bình luận | Chia sẻ qua WhatsApp
  • Thiết bị giám sát ắc quy ô tô tích hợp Bluetooth ghi lại điện áp ắc quy, đồng thời thu thập tọa độ GPS, dữ liệu trạm gốc di động và các beacon Wi-Fi lân cận rồi gửi về các máy chủ ở Hồng Kông và Trung Quốc đại lục.
  • Ứng dụng Android yêu cầu quyền vị trí để sử dụng thiết bị phần cứng, vì vậy người dùng phải liên tục phát quảng bá vị trí thực của mình cho bên thứ ba để có thể dùng sản phẩm.
  • App store ghi rõ rằng không có dữ liệu cá nhân nào bị thu thập hoặc chia sẻ, qua đó gây hiểu lầm cho người tiêu dùng.
  • Do ứng dụng giám sát ắc quy ô tô không có lý do hợp lý để theo dõi vị trí của người dùng, vấn đề quyền riêng tư nghiêm trọng đã được đặt ra.
  • Chỉ riêng trên Android, sản phẩm đã ghi nhận hơn 100.000 lượt tải xuống.
  • Thư viện nhúng được sử dụng là AMap, một trong những nhà cung cấp bản đồ số lớn tại Trung Quốc, cũng góp phần vào hoạt động thu thập dữ liệu trên diện rộng.
  • SDK AMap thu thập tọa độ GPS, dữ liệu vị trí của các trạm gốc di động lân cận và các điểm truy cập Wi-Fi; trong phần 2 của loạt bài, tác giả sẽ tìm hiểu cách AMap thu thập các dữ liệu này.
  • Phần cứng khá đơn giản và cần ghép đôi với điện thoại thông minh; ứng dụng cần thiết chạy nền để biến điện thoại thành một thiết bị quét vị trí.
  • Ứng dụng Android cần quyền vị trí để lấy thông tin vị trí, và phiên bản iOS cũng gửi dữ liệu vị trí tới máy chủ từ xa.
  • Mitmproxy được dùng để chặn lưu lượng mạng, còn Frida được dùng cho phân tích động và phân tích bộ nhớ.
  • Ứng dụng được đóng gói bằng qihoo.util, một trình đóng gói phần mềm thương mại, khiến việc giải mã trực tiếp Java bytecode từ APK trở nên khó khăn.

Bài viết liên quan

1 bình luận

 
GN⁺ 2023-06-27
Ý kiến trên Hacker News
  • Một ứng dụng giám sát ắc quy ô tô qua Bluetooth, đã được tải xuống hơn 100.000 lần trên Google Play, đang gửi dữ liệu GPS, cell ID của trạm phát sóng di động và dữ liệu beacon Wi‑Fi đến các máy chủ ở Hồng Kông và Trung Quốc đại lục.
  • Ứng dụng này tuyên bố không thu thập thông tin cá nhân hoặc gửi cho bên thứ ba, nhưng điều đó không đúng sự thật.
  • Người dùng nên có thể dừng ứng dụng khi khởi động hoặc khi chạy nền, và hệ điều hành nên biến quyền truy cập Internet thành một quyền mà người dùng có thể cấp hoặc thu hồi.
  • Cần có một tính năng trên Android cho phép cung cấp dữ liệu GPS giả từ thiết bị thật để ngăn ứng dụng thu thập dữ liệu vị trí không cần thiết.
  • Không chỉ ở Trung Quốc, mọi thiết bị đều có thể thu thập và truyền đi lượng lớn dữ liệu.
  • Chính phủ Mỹ nên có biện pháp đối với loại thiết bị này vì lý do an ninh quốc gia.
  • Các ứng dụng khác như ứng dụng di động Android của Victron để quản lý ắc quy cũng thu thập dữ liệu vị trí.
  • Độc giả có thể tìm hiểu về kỹ thuật đảo ngược ứng dụng cho các thiết bị kết nối.