Người dùng ứng dụng di động có thể đang vô tình chia sẻ dữ liệu với các domain quảng cáo bí ẩn hoạt động mà không có website công khai hoặc thông tin sở hữu rõ ràng. Một phân tích toàn diện về hơn 40.000 ứng dụng di động đã phát hiện ra một mạng lưới các domain quảng cáo tối theo dõi hành vi người dùng trong khi vẫn giữ ẩn danh với công chúng.
Cuộc điều tra đã sử dụng kiểm thử ứng dụng tự động để giám sát hàng triệu lời gọi API, tiết lộ cách các trò chơi di động phổ biến và ứng dụng chính thống thường xuyên giao tiếp với những dịch vụ theo dõi ẩn này. Điều khiến những domain này đặc biệt đáng lo ngại là sự thiếu minh bạch - nhiều domain hoạt động mà không có trang đích hoặc nhận dạng rõ ràng về chủ sở hữu.
Các ứng dụng sử dụng tên miền theo dõi ẩn:
Ứng dụng game:
- Woodoku - Wood Block Puzzle
- Draw Climber
- Helix Jump
- Going Balls
- Paper.io 2
- Snake.io
- Blockman Go
Ứng dụng doanh nghiệp:
- Adidas : Shop Shoes & Clothing
- Domino's Pizza USA
- SiriusXM : Music, Sports & News
- GasBuddy : Find & Pay for Gas
Các Mạng Quảng Cáo Lớn Đằng Sau Những Domain Ẩn Danh
Nghiên cứu đã thành công trong việc xác định các công ty đằng sau hầu hết những domain bí ẩn. Unity , nền tảng phát triển game phổ biến, vận hành qa-analytics.com cho mạng quảng cáo Unity Ads của họ. Tiết lộ này làm nổi bật cách thức ngay cả những công ty công nghệ nổi tiếng cũng sử dụng tên domain mơ hồ cho các hoạt động theo dõi của họ.
Bigo Ads nổi lên như một nhân tố chính khác, kiểm soát nhiều domain ẩn danh bao gồm news-cdn.site, kickoffo.site, và acobt.tech. Công ty này dường như cố ý sử dụng những tên domain ngẫu nhiên, không liên quan để che giấu các hoạt động thu thập dữ liệu rộng rãi của họ trên hàng trăm ứng dụng di động.
BidMachine , một nền tảng trung gian quảng cáo di động, vận hành lazybumblebee.com - một domain xuất hiện với các mẫu gần như giống hệt nhau trên 276 ứng dụng khác nhau. Tên domain vui nhộn này tương phản mạnh mẽ với vai trò điều phối chia sẻ dữ liệu giữa nhiều mạng quảng cáo.
Các tên miền quảng cáo ẩn danh đã được xác định và chủ sở hữu của chúng:
- qa-analytics.com → Unity Ads
- news-cdn.site → Bigo Ads
- kickoffo.site → Bigo Ads
- onegg.site → Bigo Ads
- acobt.tech → Bigo Ads
- lazybumblebee.com → BidMachine
- marketingcloudapis.com → Salesforce Marketing Cloud
- yastatic.net → Yandex
Lo Ngại Của Cộng Đồng Về Chặn Quảng Cáo Và Quyền Riêng Tư
Những người dùng am hiểu công nghệ đang bày tỏ sự thất vọng rằng những domain này thường vượt qua các công cụ bảo vệ quyền riêng tư tiêu chuẩn. Các giải pháp chặn quảng cáo phổ biến như Pi-hole không tự động chặn những domain theo dõi ít được biết đến này, khiến người dùng phải đối mặt với việc thu thập dữ liệu mà họ có thể không mong đợi.
Phát hiện này cũng đã đặt ra câu hỏi về những rủi ro bảo mật tiềm ẩn từ các domain bị bỏ hoang. Nếu bất kỳ domain theo dõi nào trong số này hết hạn và có thể được đăng ký, những kẻ xấu có thể chặn dữ liệu từ hàng nghìn ứng dụng di động vẫn đang cố gắng kết nối với chúng.
Ứng Dụng Doanh Nghiệp Tham Gia Cùng Game Trong Thu Thập Dữ Liệu
Trong khi các trò chơi di động chiếm ưu thế trong danh sách các ứng dụng sử dụng những dịch vụ theo dõi này, các ứng dụng doanh nghiệp lớn cũng có liên quan. Các thương hiệu nổi tiếng bao gồm Adidas , Domino's Pizza , và SiriusXM sử dụng một số domain theo dõi ẩn danh này, cho thấy rằng việc thu thập dữ liệu ẩn mở rộng xa hơn ngành công nghiệp game.
Nghiên cứu tiết lộ rằng marketingcloudapis.com, được sử dụng bởi nhiều ứng dụng doanh nghiệp, có khả năng thuộc về dịch vụ đám mây marketing của Salesforce . Kết nối này chứng minh cách các công cụ marketing doanh nghiệp cũng dựa vào những tên domain mơ hồ cung cấp ít minh bạch cho người dùng cuối.
Cuộc điều tra này nhắc nhở rằng việc thu thập dữ liệu ứng dụng di động thường xảy ra thông qua các kênh mà người dùng không thể dễ dàng nhận dạng hoặc kiểm soát. Khi lo ngại về quyền riêng tư tiếp tục gia tăng, việc sử dụng các domain theo dõi ẩn danh đặt ra những câu hỏi quan trọng về tính minh bạch trong quảng cáo kỹ thuật số và sự đồng ý của người dùng.