hoặc
Vui lòng nhập thông tin cá nhân
hoặc
Vui lòng nhập thông tin cá nhân
Nhập email của bạn để lấy lại mật khẩu
Trong nhiều năm qua, quyền riêng tư của hàng triệu người dùng Android đã âm thầm bị xâm phạm bởi một hình thức theo dõi tinh vi do hai công ty công nghệ lớn là Meta và Yandex thực hiện.
Theo điều tra do trang công nghệ Ars Technica công bố, cả Meta và Yandex đã cài đặt các đoạn mã theo dõi vào hàng triệu website. Các đoạn mã này có thể tự động gửi dữ liệu từ trình duyệt về ứng dụng di động của chính họ, nếu người dùng có cài Facebook, Instagram hay các ứng dụng của Yandex trên cùng thiết bị.
Bằng cách tận dụng một kẽ hở trong cách Android cho phép các ứng dụng và trình duyệt giao tiếp nội bộ, hai công ty đã âm thầm thu thập dữ liệu duyệt web và gắn nó với tài khoản người dùng, kể cả khi họ đang bật chế độ ẩn danh.
Trên lý thuyết, Android đã được thiết kế để ngăn chặn điều này. Các biện pháp như sandbox (cách ly ứng dụng) và phân vùng lưu trữ trình duyệt vốn nhằm đảm bảo dữ liệu web và ứng dụng không thể giao tiếp trực tiếp với nhau.
Tuy nhiên, nghiên cứu chỉ ra rằng Meta và Yandex đã phát hiện cách để lách qua các rào chắn bảo mật đó thông qua một cơ chế mà Android cho phép để giao tiếp nội bộ giữa trình duyệt và ứng dụng thông qua cổng địa phương (local port).
Về mặt kỹ thuật, quá trình này khá phức tạp. Trong trường hợp của Meta, Pixel đã sử dụng nhiều phương thức khác nhau kể từ tháng 9 năm ngoái. Ban đầu, công cụ này gửi các yêu cầu HTTP đến cổng 12387. Sau đó, nó chuyển sang sử dụng giao thức WebSocket – vốn cho phép duy trì kết nối lâu dài giữa trình duyệt và máy chủ.
Giai đoạn tiếp theo, Meta chuyển sang sử dụng WebRTC – một giao thức thường được dùng cho các cuộc gọi video và truyền dữ liệu thời gian thực. Trong phương thức này, Meta đã thao túng dữ liệu kết nối thông qua một kỹ thuật gọi là SDP munging, để nhúng cookie theo dõi vào các trường dữ liệu tưởng như vô hại. Dữ liệu này được gửi dưới dạng yêu cầu STUN đến thiết bị cục bộ, nơi mà ứng dụng Facebook hoặc Instagram có thể đọc và liên kết với người dùng.
Yandex Metrica cũng triển khai một chiến lược tương tự, dù đơn giản hơn và đã bắt đầu thực hiện từ ít nhất năm 2017. Công cụ này gửi các yêu cầu HTTP hoặc HTTPS đến các cổng nội bộ cụ thể được giám sát bởi ứng dụng Yandex, cho phép thu thập dữ liệu duyệt web và gắn nó vào hồ sơ người dùng. Giống như Meta Pixel, Yandex Metrica bị phát hiện có mặt trên hàng triệu trang web.
Google, công ty sở hữu hệ điều hành Android, đã thừa nhận vấn đề này là có thật, và cho rằng hành vi của Meta và Yandex vi phạm chính sách của cửa hàng ứng dụng Google Play cũng như kỳ vọng của người dùng về quyền riêng tư.
Người phát ngôn của Google cho biết: “Các nhà phát triển được nêu trong báo cáo đã sử dụng các tính năng có sẵn trên nhiều trình duyệt của iOS và Android theo cách trái với nguyên tắc bảo mật và quyền riêng tư mà chúng tôi đề ra”.
Hãng công nghệ Mỹ cho biết họ đã bắt đầu triển khai một số biện pháp khắc phục và đang tiếp tục điều tra thêm.
Trước phản ứng từ giới chuyên gia, Meta cho biết hiện công ty đã tạm dừng tính năng liên quan và đang làm việc với Google để làm rõ cách hiểu về chính sách. Yandex cũng tuyên bố dừng hoạt động này và khẳng định không dùng dữ liệu để xác định danh tính cá nhân.
Một số trình duyệt đã có hành động ngăn chặn chủ động. DuckDuckGo và Brave, vốn được biết đến với định hướng bảo vệ quyền riêng tư, đã chặn hoàn toàn các đoạn mã JavaScript và tên miền liên quan đến Meta và Yandex. Trình duyệt Vivaldi vẫn cho phép dữ liệu được gửi đến các cổng nội bộ nếu người dùng không kích hoạt tính năng chặn trình theo dõi. Trong khi đó, Chrome và Firefox đã tung ra các bản vá nhằm hạn chế hành vi này, nhưng giới chuyên gia cảnh báo rằng các bản vá chỉ mang tính tạm thời và có thể bị vượt qua dễ dàng nếu các đoạn mã theo dõi được chỉnh sửa nhẹ.
Ông Gunes Acar, nhà nghiên cứu đầu tiên phát hiện hành vi gửi dữ liệu qua cổng nội bộ của Meta Pixel, cho biết việc các trình duyệt cố gắng ngăn chặn kỹ thuật này chỉ là một phần của cuộc đua liên tục giữa nhà phát triển trình duyệt và các công ty theo dõi. “Bất kỳ trình duyệt nào sử dụng danh sách chặn đều sẽ rơi vào một cuộc chiến không hồi kết. Việc tạo ra danh sách chặn hiệu quả là rất khó, và các nhà phát triển trình duyệt sẽ phải liên tục theo dõi các hostname có dấu hiệu lạm dụng để cập nhật danh sách kịp thời”, ông nói.
Vụ việc này một lần nữa đặt ra câu hỏi lớn về mức độ an toàn thực sự khi duyệt web trên điện thoại Android, đặc biệt khi người dùng tưởng rằng mình đang được bảo vệ trong chế độ ẩn danh. Nó cũng cho thấy các công ty công nghệ sẵn sàng tận dụng bất kỳ lỗ hổng nào, dù nhỏ nhất, để thu thập dữ liệu người dùng với mục đích thương mại. Dù các nhà phát triển hệ điều hành và trình duyệt có thể tung ra bản vá và tăng cường kiểm soát, nhưng về bản chất, cuộc chiến với các công cụ theo dõi tinh vi vẫn còn rất lâu mới có hồi kết.
© vietpress.vn