Thực tế, trong phần bản ghi về các thay đổi của iOS 13 đã đề cập rằng trình duyệt Safari của Apple sử dụng hệ thống Safe Browsing (duyệt web an toàn) của Tencent để chống lại các trang web độc hại, nhưng bản thân Tencent lại có quyền truy cập vào bất kỳ chiếc iPhone và iPad qua IP trong suốt quá trình này.
Mặc dù điều này đã tồn tại trong suốt nhiều tháng (và thậm chí nhiều năm) qua nhưng việc bí mật này được đưa ra ánh sáng đã gây ra những tranh cãi gay gắt về việc Apple “cúi mình” trước sự giám sát và kiểm duyệt ở Trung Quốc cùng những vấn đề lớn hơn về quyền riêng tư khi duyệt web trên iOS.
Các vấn đề của Apple dựa trên một tính năng gần như vô thưởng vô phạt trên iOS: Tùy chọn cảnh báo các trang web gian lận (Fraudulent Website Warning) của trình duyệt Safari. Đúng như tên của nó, tùy chọn này giúp đưa ra các cảnh báo cho người dùng khi họ chuẩn bị truy cập vào các trang web lừa đảo hoặc chứa các phần mềm độc hại mà thư viện của nó đã nhận biết. Để nhận diện, Safari sẽ xác định các trang web này bằng cách kiểm tra chéo lưu lượng truy cập trang web của người dùng và đối chiếu với danh sách đen của các bên thứ ba. Trước đây, thư viện để Safari “tham chiếu” là chương trình Safe Browsing (duyệt web an toàn) của Google. Tuy nhiên, không rõ lý do gì mà hiện Apple lại chuyển qua sử dụng thư viện danh sách đen Safe Browsing của Tencent, theo mô tả của bản cập nhật iOS.
Bản thân các danh sách đen (blacklist) này là cơ sở để tham chiếu và đưa ra cảnh báo khi người dùng vô tình hoặc cố ý truy cập vào các trang web độc hại. Nhưng chúng cũng có thể được dùng để theo dõi người dùng, trong trường hợp tệ nhất, trình duyệt Safari còn có thể gửi trực tiếp mọi dữ liệu ghi lại các liên kết mà bạn nhấp vào (để kiểm tra và đối chiếu với danh sách đen), qua đó tạo ra nhật ký khá toàn diện về các hoạt động internet của người dùng, chúng được liên kết qua địa chỉ IP của bạn.
Theo những gì chúng ta biết, có lẽ Safari sẽ không làm bất cứ điều gì như vậy. Nhưng quan hệ đối tác của Apple với Tencent vẫn làm dấy lên lo ngại về việc gã khổng lồ công nghệ của Mỹ và tập đoàn truyền thông hàng đầu của Trung Quốc có thể lạm dụng hệ thống này. Tencent hiện điều hành nhiều ứng dụng tại Trung Quốc, bao gồm dịch vụ tin nhắn WeChat và trình duyệt QQ Browser. Cũng giống như nhiều công ty chính thống khác của Trung Quốc, Tencent kiểm duyệt các ứng dụng của họ và từng bị tố chuyển dữ liệu người dùng cho chính phủ Trung Quốc.
Dĩ nhiên, Apple sẽ chối bay mối liên kết và giả thuyết trên. Trả lời trang tin TheVerge, đại diện Apple cho rằng họ không hề cung cấp danh sách lịch sử duyệt web của người dùng cho Tencent (và cả Google), hãng tuyên bố: “Apple luôn bảo vệ quyền riêng tư của người dùng và dữ liệu của bạn bằng tính năng Fraudulent Website Warning trên Safari. Khi nó được bật, Safari sẽ kiểm tra các địa chỉ URL của trang web dựa trên danh sách các trang web đã biết và hiển thị cảnh báo nếu địa chỉ web bị nghi ngờ có các hành vi gian lận hoặc lừa đảo. Để nhận biết, Safari sẽ sử dụng thư viện và danh sách đen do Google và Tencent cung cấp. Thực tế, các địa chỉ web của bạn sẽ không bao giờ được chia sẻ với các nhà cung cấp tính năng duyệt web an toàn và tính năng này cũng có thể được tắt dựa trên lựa chọn của người dùng”.
Tuy nhiên, Matthew Green, một nhà mật mã học tại viện Johns Hopkins đã đưa ra một kịch bản phức tạp hơn về hệ thống Safe Browsing trên Safari. Ông đưa ra ví dụ, Google có thể dựa vào sự tương tác của Safari với danh sách đen. Về cơ bản, Google sẽ mã hóa bằng cách “băm” (hash) từng URL không an toàn thành một đoạn mã ngẫu nhiên, sau đó gửi cho Safari các phần đầu (prefixes) của mã hash này dựa theo danh sách của họ. Nếu khớp, trình duyệt Safari sẽ tiếp tục yêu cầu Google cung cấp toàn bộ giá trị hàm hash (bao gồm cả tiền tố đã cung cấp trước đó). Sau khi được Google cung cấp toàn bộ đoạn mã hóa của một trang web không an toàn, Safari sẽ kiểm tra để xem có khớp không rồi gắn “cờ” để cảnh báo người dùng.
Điều này có nghĩa là về lý thuyết Google sẽ không nhận được bất kỳ thông tin nào trong hầu hết trường hợp do không nhận được các dòng mã hash hoàn chỉnh. Nhưng khi Safari tìm thấy tiền tố phù hợp và yêu cầu Google cung cấp đoạn mã hoàn chỉnh, đó là lúc nó sẽ “vô tình” tiết lộ địa chỉ IP của người dùng, cũng như một phần mã hash của bất kỳ trang web nào mà người dùng đang truy cập.
Nếu Google (hay Tencent) có thiện chí, sự đánh đổi riêng tư này là hợp lý, nhất là khi người dùng đối mặt với các trang web độc hại. Nhưng Green cho rằng, những kẽ hở nhỏ trong “dòng chảy” này vẫn có thể gây ra rò rỉ danh tính của người dùng khi họ duyệt web hằng ngày. Nếu bản thân nhà cung cấp Google hay Tencent cố tình theo dõi người dùng, thì không quá khó để họ thu thập các thông tin và lịch sử web. Ông không kết luận Tencent có làm điều này không nhưng cho rằng Apple phải giải thích rõ cho người dùng an tâm.
Điều này có thể được coi là một sai lầm nhỏ của Apple, bởi hiện nhiều công ty Mỹ vẫn đang làm việc với Tencent, như Reddit, Forrnite… Nhưng với lịch sử không mấy minh bạch của Tencent, kết hợp với thái độ cảnh giác của Mỹ thì người dùng có quyền nghi ngờ khả năng do thám dữ liệu iOS của chính phủ Trung Quốc. Đặc biệt, thông tin này vỡ ra trong khi Apple đang đối mặt với các chỉ trích về khả năng sự nhượng bộ của hãng với chính phủ Trung Quốc, từ việc hãng bắt đầu lưu trữ một số dữ liệu mã hóa iCloud tại Trung Quốc hồi năm ngoái, hay mới nhất là động thái gỡ bỏ một ứng dụng bản đồ giúp người biểu tình ở Hồng Kông “né” các trạm kiểm soát của cảnh sát trong bối cảnh mối quan hệ giữa chính quyền và người dân đặc khu này đang rất căng thẳng.
Trước đó, Apple luôn coi quyền riêng tư là “vũ khí” để hãng khoe mẽ và cạnh tranh với các đối thủ công nghệ khác, do vậy các hành động sẵn sàng thỏa hiệp với Trung Quốc hay hợp tác với Tencent đang bị coi là điểm yếu chí mạng, dễ bị người dùng cảnh giác và các đối thủ như Facebook quay lại “đáp trả”.
Câu chuyện lớn hơn ở đây không chỉ còn nằm ở Apple, bởi hiện quyền riêng tư trực tuyến đang ngày càng trở nên khó kiểm soát, khi mà các công ty lớn đang kiểm soát và thâu tóm phần lớn internet. Rất dễ để lên án các hành vi theo dõi người dùng khi họ dùng nó để phục vụ các quảng cáo hướng đối tượng, nhưng vẫn cần các công cụ bảo vệ truy cập khi duyệt web. Đó là lúc chúng ta phải đánh đổi quyền riêng tư để ngăn chặn các mối đe dọa khác từ các trang web lừa đảo cũng như các phần mềm độc hại, lúc này Apple cũng khó xử hơn bao giờ hết.
Bình luận (0)