เราอาจเคยสั่งให้บางแอพว่าไม่ให้มันติดตามการใช้งานโทรศัพท์ของเรา ซึ่งเราก็คาดหวังว่ามันจะหยุดอยู่แค่นั้น แต่ลึก ๆ แล้วมันไม่ใช่แค่นั้นน่ะสิ
นักวิจัยค้นพบวิธีที่แอปนับพันสามารถที่จะโกงคำสั่งอนุญาตของ Android โดยให้แอปอื่น ๆ ในเครื่องสามารถส่งข้อมูลถึงกันได้ ซึ่งแค่นั้นก็เพียงพอที่จะระบุตำแหน่งของคุณได้เช่นกัน นั่นแปลว่า หากเราไม่ได้อนุญาตให้แอปนึงติดตาม Location เรา แต่มีอีกแอปที่เราอนุญาตให้ติดตาม Location แล้วสองแอปนี้ดันมีความสัมพันธ์เชิงลึกที่เราไม่รู้มาก่อน มันก็จะส่งข้อมูลหากัน ทำให้รู้ตำแหน่งเราได้เช่นกัน
แล้วไอความสัมพันธ์เชิงลึกที่ว่าเนี่ย แม้แต่เจ้าของแอปเองก็อาจจะไม่รู้ด้วยซ้ำ นั่นก็เพราะ นักพัฒนาใช้ชุดพัฒนาซอฟต์แวร์เดียวกัน (SDK) พวกเขาสามารถเข้าถึงข้อมูลนั้นและมีหลักฐานว่าเจ้าของ SDK ได้รับข้อมูลจากแอป ซึ่งมันเหมือนเด็กที่รบเร้าขอของหวานจากพ่อแม่ แต่พวกเขาไม่ให้ เด็กเลยไปขอของหวานจากคนอื่นแทน
จากการศึกษาใน PrivacyCon2019 เรากำลังพูดถึงแอพจาก Samsung และ Disney ที่มีการดาวน์โหลดหลายร้อยล้านครั้ง โดยพวกเขาใช้ SDK ชื่อว่า Salmonads ที่สร้างโดย Baidu บริษัท Seaech Engine ยักใหญ่จากจีน
โดย Salmonads สามารถส่งผ่านข้อมูลของคุณจากแอปหนึ่งไปยังอีกแอปหนึ่ง (และไปยังเซิร์ฟเวอร์ของพวกเขา) โดยเก็บไว้ในโทรศัพท์ของคุณก่อน และอาจพยายามรับส่งข้อมูลนี้อย่างเงียบ ๆ เพื่อไม่ให้ทั้งเจ้าของดีไวซ์แลเจ้าของแอปรู้ตัว
ทั้งนี้ มีการแจ้งช่องโหว่ดังกล่าวไปยัง Google แล้ว แต่ Google แจ้งว่าช่องโหว่จะได้รับการแก้ไขใน Android Q นั่นแปลว่าโทรศัพท์รุ่นเก่า ๆ ก็จะยังมีช่องโหว่ดังกล่าวอยู่
คำแนะนำของผู้เขียนคือ หากแอพอะไรไม่น่าไว้ใจก็ไม่จำเป็นต้องโหลดมาเก็บไว้เยอะ ๆ หรือเราโหลดแอพที่เราจำเป็นต้องใช้จริง ๆ (เน้นย้ำว่าใช้จริง ๆ ) พร้อมกับตั่งแต่ว่าให้เปิด Location ขณะใข้งานแอพเท่านั้น เพื่อเป็นการป้องกันในอีกขั้นหนึ่ง แต่หากใครไม่ซีเรียส เรื่องการ Track Location ก็เปิดใช้งานตามสบาย (ระวังเรื่องแบตหมดไวด้วยละกัน)
Source : The Verge
