Không thể phủ nhận các chợ ứng dụng như Google Play và App Store hiện nay có rất nhiều ứng dụng miễn phí tốt. Đó là những ứng dụng miễn phí đến từ các nhà cung cấp hàng đầu như Facebook, Microsoft, hay Google, Apple...
Tuy nhiên, theo một nghiên cứu gần đây của các chuyên gia bảo mật, rất nhiều ứng dụng miễn phí Android không hề miễn phí như cái tên của nó. Do không được Google kiểm duyệt chặt chẽ, những ứng dụng này đã âm thầm kết nối tới hàng loạt website quảng cáo, theo dõi người dùng nhằm kiếm lời. Điều đáng nói là những hoạt động theo dõi này diễn ra một cách âm thầm mà người dùng không hề được thông báo.
Trong hai kho ứng dụng Play Store và App Store, kho ứng dụng của Apple từ trước đến nay vẫn được đánh giá là có chất lượng cao hơn. Đó là nhờ Apple có quy trình kiểm tra chất lượng ứng dụng một cách chặt chẽ. Nhà phát triển nào muốn ứng dụng của họ có mặt trên App Store phải tuân thủ các quy định của "Táo khuyết".
Trong khi đó, Google Play lại là một môi trường "mở" hơn khá nhiều. Chỉ những ứng dụng thực sự gây hại, và tác hại của nó thể hiện rõ ngay từ bên ngoài, mới bị loại bỏ. Chính sự dễ dãi này đã tạo cơ hội cho nhiều nhà phát triển lợi dụng để trục lợi, theo như một nghiên cứu mới đây của các chuyên gia bảo mật tại Eurecom (Pháp).
Cụ thể, chuyên gia bảo mật Vigneri cùng các đồng sự tại Eurecom đã tiến hành tải về trên 2000 ứng dụng miễn phí thuộc tất cả 25 danh mục trên Google Play. Họ lần lượt mở chạy từng ứng dụng một trên chiếc Samsung Galaxy S3 chạy Android 4.1.2 , đồng thời thực hiện các thiết lập để chuyển kênh (channel) tất cả traffic qua máy chủ của Eurecom. Điều này giúp ghi lại tất cả các url mà từng ứng dụng miễn phí nói trên liên lạc đến.
Tiếp theo, các nhà nghiên cứu đối chiếu url thu thập được với một danh sách các website liên quan đến quảng cáo từ một cơ sở dữ liệu (database) có tên EasyList, và một database khác là các trang web theo dõi người dùng có tên EasyPrivacy.
Kết quả là 2.000 ứng dụng nói trên đã kết nối với 250.000 url của gần 2.000 tên miền hạng nhất. Mặc dù chỉ kết nối tới các trang quảng cáo, không gây hại gì cho người dùng, nhưng có tới 10% trong số 2.000 ứng dụng trên kết nối tới hơn 500 url khác nhau.
Các nhà nghiên cứu đã chỉ đích danh một số ứng dụng kết nối tới các trang quảng cáo dạng này như “Music Volume EQ”. Đây là một ứng dụng để thiết kế để điều khiển âm lượng - một tác vụ mà không cần tới việc kết nối tới url ngoài. Tuy nhiên, trên thực tế “Music Volume EQ” lại kết nối tới hơn 2000 url khác nhau. "Eurosport Player" là một ví dụ tương tự, kết nối với hơn 810 trang quảng cáo.
Rất may, cùng với nghiên cứu của mình, các nhà bảo mật của Eurecom cũng phát hành một ứng dụng giúp người dùng Android biết được chính xác các ứng dụng miễn phí đang làm gì trên máy của họ. Có tên gọi “NoSuchApp”, ứng dụng của Eurecom sẽ giúp theo dõi lưu lượng truy cập từ điện thoại, cho biết chính xác ứng dụng đang cố kết nối tới website nào, và nếu thấy khó chịu với một ứng dụng nào đó, bạn có thể xóa chúng khỏi máy để tránh bị theo dõi và trở thành đối tượng cho các quảng cáo mục tiêu về sau.
Theo Ictnews