Mozilla kiến nghị Apple thay đổi cách xử lý số nhận dạng

Doanh nghiệp số - Ngày đăng : 11:26, 03/05/2019

Theo thông tin từ các nhà phân tích gần đây, Apple hiện đang có một số nhược điểm “chết người”. Cụ thể, một số tính năng nhận dạng nhất định được bật mặc định trên mọi iPhone, sẽ cho phép các nhà quảng cáo theo dõi hoạt động của điện thoại trên web.

iphone x remote jailbreak

Ngay khi thông tin này được tung ra, Apple đã nhận được phản ứng dữ dội từ các công ty công nghệ lớn. Cụ thể, vào đầu tháng 04/2019, Mozilla đã đưa ra kiến nghị yêu cầu nhà sản xuất iPhone thay đổi cách xử lý số nhận dạng của các nhà quảng cáo (IDFA - Identifiers for advertisers).

Hiểu một cách nôm na, IDFA là những ID duy nhất đi kèm với mọi điện thoại và chúng cho phép các nhà quảng cáo theo dõi cách người dùng di chuyển trên web và sử dụng các ứng dụng khác nhau. Ý tưởng là để cho phép quảng cáo chọn được mục tiêu phù hợp nhất với người tiêu dùng. Tuy nhiên, mọi vấn đề luôn có một mặt trái. Các ID này theo lý thuyết là được ẩn danh và không được liên kết với bất kỳ thông tin cá nhân nào. Tuy nhiên, trên thực tế, chúng được liên kết với chính điện thoại mà chủ nhân đang sử dụng, điều này vẫn giúp xây dựng một hồ sơ có khả năng bị xâm phạm của người tiêu dùng sử dụng thiết bị đó, ngay cả khi tên người và thông tin cá nhân khác không liên quan đến nó.

Việc đó giống như một nhân viên bán hàng theo dõi bạn từ cửa hàng này đến cửa hàng khác trong khi bạn mua sắm và ghi lại từng thứ bạn nhìn vào. Mozilla đã yêu cầu Apple thay đổi ID duy nhất cho mỗi iPhone hàng tháng, và người dùng vẫn sẽ nhận được những quảng cáo có liên quan - nhưng sẽ khó hơn để các công ty xây dựng hồ sơ về người dùng theo thời gian”.

Threatpost đã trao đổi với các nhà nghiên cứu bảo mật về cách Apple xử lý số nhận dạng của các nhà quảng cáo và liệu tuyên bố của Apple sẽ sẵn sàng bảo vệ quyền riêng tư của người dùng có chính xác hay không?

Số nhận dạng các nhà quảng cáo

John Zelonis, nhà phân tích cao cấp của Forrester Research, đã trao đổi với Threatpost rằng, việc thay đổi IDFA trên cơ sở hàng tháng sẽ không hiệu quả khi để ngăn chặn các công ty quảng cáo theo dõi hoạt động điện thoại theo cách xâm lấn.

Ông giải thích: “Việc thay đổi IDFA hàng tháng chỉ có hiệu quả ẩn danh nếu chủ sở hữu ứng dụng không thể theo dõi người dùng trên các IDFA mới, được tạo bằng các phiên bản đăng nhập hoặc các phương pháp khác để liên kết người dùng với IDFA. Tác động của việc thực hiện thay đổi này có thể chỉ làm tăng giá trị của dữ liệu được thu thập bởi các ứng dụng đang tìm cách theo dõi trên IDFA, không nhất thiết phải giải quyết vấn đề hiện có”.

Ông cũng chỉ ra rằng mặc dù có thể tắt IDFA, nhưng chúng được kích hoạt mặc định và người dùng thường không nhận ra rằng chúng tồn tại, đây mới là vấn đề chính.

Ông cho biết: “Tôi đã thử với iphone của bản thân mình. Mặc dù đã bật tính năng Giới hạn theo dõi quảng cáo (Limit Ad Tracking), thì các công ty quảng cáo vẫn có thể theo dõi thông tin người dùng thông qua một tính năng thứ hai có tên gọi Quảng cáo Apple dựa trên vị trí (Location-Based Apple Ads). Bản thân tôi cũng không biết về tính năng thứ hai này. Nói một cách thẳng thắn thì tôi xem đây là một mô hình tối mà đang đặt khách hàng vào thế bị động”.

Tuy nhiên, Corneliu Balaban, quản lý bảo vệ thiết bị đầu cuối di động tại Avira, không đồng ý với quan điểm rằng Apple cần phải thực hiện bất kỳ thay đổi nào.

Ông trả lời phỏng vấn với tờ Threatpost: “Cách thức xử lý IDFA hiện tại của Apple là chuẩn xác. Ngay cả khi bạn đang xây dựng hồ sơ người dùng, bạn đang xây dựng chúng cho ứng dụng của mình và để xác định cách nhắm mục tiêu người dùng cho ứng dụng của bạn. Hơn nữa, một ID ẩn danh không thể ràng buộc với một người dùng cụ thể. Nếu nhà phát triển ứng dụng không sử dụng IDFA, nó vẫn có khả năng ghi lại một số ID duy nhất trên hệ thống (không được đặt lại trừ khi người dùng đặt lại) và vẫn có thể lập hồ sơ cho người đó dựa trên ID đó”.

Một số người đồng ý rằng những thay đổi được đề xuất sẽ là một điều tốt - nhưng hãy cẩn thận để không nói quá về tác động của chúng.

Thomas Reed, giám đốc Mac & Mobile tại Malwarebytes cho biết: “Tôi thực sự tin rằng việc làm theo những gì Mozilla gợi ý, hoặc đơn giản là bật cài đặt Giới hạn theo dõi quảng cáo theo mặc định, sẽ nâng tính năng bảo mật hơn nữa. Tuy nhiên, đây sẽ là chỉ là một bước cải tiến khá nhỏ so với những thay đổi mà các công ty khác cần thực hiện để trở thành trung tâm bảo mật. Nếu khoảng cách giữa Apple và một công ty khác như Facebook giống như đại vực Grand Canyon, thì sự cải tiến mà Apple có thể thực hiện bằng cách tuân theo gợi ý của Mozilla, chỉ là giống như nhảy qua ổ gà”.

Có nên “tẩy chay” Apple?

Chris Morales, người đứng đầu nhóm phân tích bảo mật tại Vectra cho biết: “IDFA không nhận dạng thiết bị hoặc người dùng và là sự thay thế cho UDID (Unique Device Identifier – Định danh duy nhất của thiết bị) kém an toàn hơn nhiều. Thực tế, có thể tắt IDFA có nghĩa là người dùng có quyền kiểm soát. Thực tế là, người dùng đang bị theo dõi cho các mục đích quảng cáo ở khắp mọi nơi trên internet, từ các công cụ tìm kiếm đến phương tiện truyền thông xã hội, cho đến các thiết bị. Theo ý kiến của tôi, Apple so với tất cả các công ty khác là tồi tệ nhất”.

Tuy nhiên, nhiều chuyên gia khác không đồng quan điểm. Theo họ, Apple vẫn là một công ty công nghệ lớn và phát triển hơn nhiều so với những công ty khác. Balaban tại Avira cho biết: “Nhìn vào hệ điều hành của đối thủ cạnh tranh - Android, iOS vẫn tiến xa hơn về các chủ đề bảo mật, bằng cách không cho phép các ứng dụng chạy miễn phí mà không có một số quyền lợi cụ thể, hoặc trong một số trường hợp hoàn toàn cấm các ứng dụng lạ”.

Và Tim Erlin, phó chủ tịch quản lý và chiến lược sản phẩm tại Tripwire cho biết: “Nếu Apple cung cấp cho các đối tác của họ quyền truy cập vào dữ liệu của người dùng, thì điều đó không an toàn, nhưng nó rõ ràng liên quan đến quyền riêng tư người dùng. Nếu người dùng cấp quyền cho ứng dụng để đọc tất cả các địa chỉ liên hệ của họ, thì đó không phải là vấn đề bảo mật. Quyền riêng tư được đan xen nhiều hơn với sự đồng ý của người dùng và các hành động rõ ràng”.

Trương Khánh Hợp