Các nhà nghiên cứu bảo mật bắt quả tang Facebook “bí mật” thu thập dữ liệu nhạy cảm của người dùng điện thoại iPhone. Tệ hơn nữa là không có cách nào để ngăn chặn việc theo dõi đặc biệt xâm lấn này ngoài việc xóa ứng dụng.
Tuần trước, một bài báo trên Forbes đã cảnh báo người dùng iPhone rằng Facebook vẫn thu thập dữ liệu vị trí bằng cách sử dụng siêu dữ liệu từ ảnh và địa chỉ IP của bạn, ngay cả khi bạn cập nhật cài đặt Facebook “không bao giờ” theo dõi vị trí của mình. Facebook thừa nhận việc thu thập này, từ chối giải thích tại sao điều đó lại xảy ra ngay cả khi người dùng tắt tính năng theo dõi vị trí một cách cụ thể.
Theo Forbes, giờ đây, các nhà nghiên cứu bảo mật đã bất ngờ cảnh báo rằng gã khổng lồ công nghệ còn đi xa hơn nữa khi sử dụng gia tốc kế trên iPhone của bạn. Do đó, Facebook có thể dễ dàng được theo dõi các hoạt động hoặc hành vi của bạn vào các thời điểm trong ngày, ở những nơi cụ thể hoặc khi bạn tương tác với các ứng dụng và dịch vụ của công ty. Đáng báo động là dữ liệu này thậm chí có thể khớp bạn với những người ở gần bạn – cho dù bạn có biết họ hay không.
Cũng giống như dữ liệu vị trí ảnh, vấn đề nghiêm trọng nhất ở đây là việc thu thập dữ liệu hoàn toàn không có sự minh bạch. Bạn không được cảnh báo rằng dữ liệu này đang bị theo dõi, không có cài đặt nào để bật hoặc tắt theo dõi. Trên thực tế, dường như không có bất kỳ cách nào để tắt tính năng này và ngăn Facebook theo dõi.
Các nhà nghiên cứu Talal Haj Bakry và Tommy Mysk cảnh báo rằng “Facebook đọc dữ liệu gia tốc kế mọi lúc. Nếu bạn không cho phép Facebook truy cập vào vị trí của mình, ứng dụng vẫn có thể suy ra vị trí chính xác của bạn chỉ bằng cách nhóm bạn với những người dùng khớp với cùng kiểu rung mà gia tốc kế điện thoại ghi lại”.
Các nhà nghiên cứu cho biết vấn đề xuất hiện trên cả Facebook, Instagram và WhatsApp, mặc dù với WhatsApp, có thể vô hiệu hóa tính năng này và nền tảng này đảm bảo rằng không có dữ liệu nào đi ra khỏi thiết bị của người dùng.
Mysk nói: “Trong Facebook và Instagram, không rõ tại sao các ứng dụng đọc gia tốc kế — tôi không thể tìm ra cách tắt nó”. Điều đó có nghĩa là bạn cần xóa ứng dụng và truy cập Facebook thông qua trình duyệt của mình.
Mysk nói thêm: “Tôi đã thử nghiệm TikTok, WeChat, iMessage, Telegram và Signal. Họ không làm điều đó”.
Với việc Facebook thống trị số lượt cài đặt trên mạng xã hội trên iPhone, hoạt động thu thập dữ liệu này sẽ ảnh hưởng đến gần như tất cả hơn tỷ người dùng iPhone trên khắp thế giới. Facebook đã xác nhận với nhà báo Zak Doffman của tạp chí Forbes rằng: “Chúng tôi sử dụng dữ liệu gia tốc kế cho các tính năng như rung để báo cáo và để đảm bảo một số loại chức năng của camera như xoay xung quanh để chụp ảnh 360 độ hoặc cho việc quay video”.
Mysk nói: “Mặc dù dữ liệu gia tốc kế có vẻ vô thưởng vô phạt, nhưng thật ngạc nhiên là một ứng dụng nào đó có thể tạo nên những phép đo này. Khi đó các ứng dụng có thể tìm ra nhịp tim, chuyển động và thậm chí cả vị trí chính xác của người dùng. Tệ hơn, tất cả các ứng dụng iOS đều có thể đọc các phép đo của cảm biến này mà không được phép. Nói cách khác, người dùng sẽ không biết liệu một ứng dụng có đang đo nhịp tim của họ trong khi sử dụng ứng dụng đó hay không”.
Mặc dù có thể có những lợi ích hợp lý khi sử dụng camera, nhưng điều này không giải thích tại sao các chuyển động của bạn được theo dõi liên tục, thay vì chỉ khi các tính năng máy ảnh đó được sử dụng. Sẽ rất đơn giản đối với Facebook nếu chỉ thu thập dữ liệu gia tốc kế khi cần thiết. Đối với chức năng rung để báo cáo, Facebook có thể sử dụng chức năng của Apple để giới hạn lượng dữ liệu mà ứng dụng thu thập – nhưng đó không phải là cách Facebook hoạt động. Tệ hơn nữa, ngay cả khi người dùng tắt tính năng báo cáo này trong ứng dụng Facebook, Mysk nói với Forbes: “Không có gì xảy ra khi bạn lắc điện thoại, nhưng ứng dụng vẫn tiếp tục đọc gia tốc kế”.
Các nhà nghiên cứu trích dẫn ví dụ về hành trình xe buýt để cho thấy dữ liệu đó có thể được sử dụng như thế nào. Họ giải thích: “Nếu bạn đang ở trên xe buýt và một hành khách đang chia sẻ vị trí chính xác của họ với Facebook, Facebook có thể dễ dàng cho biết rằng bạn đang ở cùng vị trí với hành khách. Cả hai kiểu rung động sẽ giống hệt nhau”.
Nếu bạn cho rằng điều này là không thực tế, thì Facebook thực sự đã nộp đơn xin cấp bằng sáng chế về việc sử dụng tín hiệu điện thoại không dây để kết nối người lạ và thậm chí trích dẫn ví dụ về một chuyến xe buýt như vậy, “có thể có lợi khi cung cấp một cách tiếp cận cho người dùng, những người đã gặp hoặc có khả năng đã gặp, kết nối với nhau nếu họ muốn”.
Mysk giải thích: “Chúng tôi đã thử nghiệm một số ứng dụng, và Facebook và Instagram nổi bật trong số đó. Trong khi Facebook đọc cảm biến gia tốc mọi lúc, thì Instagram chỉ đọc nó khi người dùng đang nhắn tin trong DM. Ngoài ra, WhatsApp cũng đọc gia tốc kế theo mặc định để tạo hoạt ảnh cho các hình nền trò chuyện. Vì vậy, việc này đặt ba ứng dụng này lại với nhau và bạn tự hỏi liệu chúng có khớp với kiểu rung giữa những người dùng hay không. Điều này có thể trở nên khó chịu và cách để kết thúc nó là bảo vệ cảm biến có giá trị này với một sự cho phép”.
Như Jake Moore của ESET cảnh báo rằng, đây rõ ràng là một vi phạm khác dường như đã bị phát hiện khi ứng dụng thu thập thêm dữ liệu cá nhân từ iPhone. Nhiều người thậm chí có thể không nghĩ kỹ về những cảm biến mà iPhone có, chứ chưa nói đến việc hiểu đầy đủ những gì thông tin này có thể cung cấp cho các công ty.
Moore nói thêm: “Tất cả dữ liệu mang tính cá nhân và duy nhất nên được xem là nhạy cảm và phải được bảo vệ”.
Văn Thiện