Mới đây, Wall Street Journal vừa công bố kết quả điều tra cho thấy, ứng dụng TikTok trên nền tảng Android đã bí mật thu thập thông tin về địa chỉ MAC trên các thiết bị trong suốt 15 tháng.
Điều tra của tờ Wall Street Journal dựa trên việc phân tích 9 phiên bản cập nhật của TikTok trên Google Play Store từ tháng 4/2018 đến tháng 1/2020.
Wall Street Journal đề cập, TikTok đã thu thập địa chỉ Mac khi người dùng cài đặt và truy cập ứng dụng lần đầu. Ngoài địa chỉ Mac, dữ liệu được TikTok thu thập còn có ID quảng cáo của thiết bị, một dãy 32 ký tự cho phép các nhà quảng cáo theo dõi hành vi người dùng.
Được biết, hành động động thu thập địa chỉ Mac của các ứng dụng đã bị Google và Apple cấm từ năm 2015 với các điều khoản rõ ràng trên Google Play và App Store. Thế nhưng, TikTok vẫn âm thầm khai thác thông qua một lỗ hổng trên Android.
Và không chỉ riêng gì TikTok, điều tra của The Wall Street Journal cũng chỉ ra có gần 350 ứng dụng khác trên nền tảng Android đã lợi dụng lỗ hổng trên Android để thu thập địa chỉ MAC của người dùng.
Điều đáng nói đó là lỗ hổng này của Android từng được báo cáo Google từ tháng 6 năm 2019, nhưng cho đến nay lỗ hổng này vẫn chưa được Google khắc phục.
Cụ thể, Joel Reardon, trợ lý giáo sư tại Đại học Calgary và đồng sáng lập công ty chuyên phân tích ứng dụng di động AppCensus, cho biết rằng, ông là người đã phát hiện lỗ hổng được này trên Android và báo cáo cho Google vào thời điểm tháng 6 năm ngoái.
Tuy nhiên, trong phiên bản Android mới nhất, chuyên gia này cho biết lỗ hổng vẫn chưa được Google vá lại.
"Tôi bị sốc vì lỗ hổng vẫn còn có thể khai thác được", Joel Reardon nói với Wall Street Journal.
Địa chỉ Mac (gồm 12 ký tự) là địa chỉ định danh duy nhất hay còn gọi là số nhận dạng của mỗi thiết bị được các nhà sản xuất gán trên mỗi thiết bị.
Do không thể đặt lại hoặc thay đổi, nên địa chỉ Mac thường được các nhà phát triển ứng dụng, cũng như các công ty phân tích bên thứ ba thu thập để tạo hồ sơ về hành vi của người dùng, phục vụ cho mục đích quảng cáo.
"Đó là cách để theo dõi và thu thập dữ liệu người dùng lâu dài, trong khi nạn nhân không thể phản kháng", Joel Reardon chia sẻ.
Theo phát hiện của Wall Street Journal, TikTok đã thu thập địa chỉ Mac của hàng triệu thiết bị Android trái phép ngay cả khi người dùng thay đổi cài đặt quyền riêng tư hoặc từ chối quyền truy cập.
Điều này đồng nghĩa, người dùng cũng không thể 'từ chối' gần 350 ứng dụng còn lại thu thập dữ liệu của mình.