Sự việc được Nitrokey công bố từ tháng 4 năm 2022, sau khi họ tiến hành thử nghiệm trên máy điện thoại Sony Xperia XA2 trang bị chip Snapdragon 630 cài hệ điều hành /e/OS de-Google Android (phiên bản Android đã loại bỏ tất cả các dịch vụ của Google). Nhóm thử nghiệm không gắn thẻ SIM cho máy điện thoại mà để máy trao đổi dữ liệu thông qua mạng không dây nhằm mục đích kiểm soát quá trình trao đổi thông tin thông qua phần mềm Wireshark.
Ngay sau khi khởi động và kết nối mạng, máy điện thoại đã khởi tạo kết nối tới các máy chủ android.clients.google.com; connectivity.ecloud.global và izatcloud.net.
Tiếp tục nghiên cứu, nhóm thử nghiệm phát hiện các thông tin cá nhân được gửi đến máy chủ izatcloud.net của tập đoàn Qualcomm Technologies gồm: số IMEI, tên chip, số series của chip, phiên bản phần mềm XTRA, mã di động quốc gia, nhà cung cấp mạng di động, nhà sản xuất thiết bị, kiểu máy, danh sách ứng dụng trên thiết bị và địa chỉ IP. Tìm hiểu sâu hơn, Nitrokey phát hiện phần mềm XTRA của Qualcomm cung cấp cả ứng dụng xác định chính xác vị trí thiết bị điện thoại A-GPS. Các dữ liệu này được truyền qua giao thức HTTP không an toàn và không áp dụng kỹ thuật mã hóa bổ sung nào.
Sau khi công ty an ninh mạng Nitrokey công bố báo cáo trên đã thu hút rất nhiều sự quan tâm và nhận được nhiều ý kiến phản hồi bày tỏ các quan điểm khác nhau. Trong đó có cả ý kiến cho rằng Nitrokey đưa ra thông tin này nhằm quảng cáo, giới thiệu sản phẩm điện thoại di động của hãng này (NitroPhone) [1]. Theo Nitrokey thì sau 4 ngày công bố (27/4/2022) thì họ đã bị một cuộc tấn công DDoS với dung lượng 50Gbits làm ngừng website của họ trong vòng 20 giờ.
Phản ứng với sự kiện trên, Tập đoàn Quanlcomm thừa nhận việc thu thập dữ liệu trên và cho rằng, nó hoàn toàn hợp pháp, cụ thể là tuân thủ chính sách quyền riêng tư đã được đề cập của dịch vụ XTRA [2] (Dịch vụ của Qualcomm cung cấp chính xác các vị trí vệ tinh trong thời gian dài cho thiết bị di động). Việc thu thập thông tin nhằm mục đích tăng trải nghiệm của người dùng (đặc biệt là khả năng định vị chính xác của dịch vụ GPS và tối ưu lượng pin sử dụng cho dịch vụ GPS) và các dữ liệu này được xử lý ở Mỹ và lưu trữ trong vòng 90 ngày tại nhiều máy chủ trên khắp thế giới.
Một số chuyên gia cũng cho rằng việc thu thập dữ liệu của Qualcomm không nên cho là “lén lút” và bí mật, họ đã thu thập từ lâu và triển khai thông qua giao thức không mã hoá HTTP. Các nhà sản xuất chip khác như Intel, Huawei, Samsung hay Apple cũng có các ứng dụng thu thập thông tin thông qua mạng [3]. Nội dung cụ thể của các dữ liệu thu thập này được đề cập trong tài liệu riêng của mỗi hãng, trong đó có tài liệu công bố nhưng cũng có tài liệu khó tiếp cận trực tiếp.
Ví dụ như trong tài liệu Intel Privacy Notice [4] của hãng Intel cũng thông báo họ thu thập thông tin các nhân người dùng từ nhiều nguồn khác nhau như: các website của hãng khi người dùng cho phép tích hợp cookies; các sản phẩm của hãng; các phần mềm, công cụ, dịch vụ và các tính năng của hãng. Cách duy nhất để chắc chắn về các nội dung này là kiểm tra bằng các công cụ chuyên dụng (ví dụ như sử dụng phần mềm Wireshark).
Mặc dù chưa biết các thông tin cá nhân mà Qualcomm cũng như các hãng sản xuất chip khác thu thập có được sử dụng vào các mục đích nào khác, các chuyên gia an ninh mạng bày tỏ lo ngại việc dữ liệu cá nhân được truyền qua giao thức HTTP kém bảo mật sẽ ảnh hưởng đến quyền riêng tư và bảo mật thông tin người dùng. Sự việc cho thấy một yêu cầu thực tế rằng cần có sự minh bạch hơn từ các công ty công nghệ về dữ liệu họ thu thập và cách sử dụng dự liệu này. Người dùng cần được biết thông tin của họ đang được sử dụng như nào và có khả năng kiểm soát chúng hay không.
TÀI LIỆU THAM KHẢO [1] “NitroKey disappoints me,” BrixIT Blog, Apr. 25, 2023. https://blog.brixit.nl/nitrokey-dissapoints-me/ (accessed May 12, 2023). [2] “Privacy Policy | Qualcomm.” https://www.qualcomm.com/site/privacy (accessed May 12, 2023). [3] T. Claburn, “Are Qualcomm chips snooping on you? No, not quite.” https://www.theregister.com/2023/04/27/qualcomm_covert_operating_system_claim/ (accessed May 12, 2023). [4] “Intel Privacy Notice,” Intel. https://www.intel.com/content/www/us/en/privacy/intel-privacy-notice.html (accessed May 12, 2023). |
Nguyễn Như Tuấn (Ban Cơ yếu Chính phủ)
11:00 | 24/07/2019
08:00 | 26/08/2021
17:44 | 10/07/2015
16:00 | 03/06/2024
17:00 | 28/01/2025
Fortinet mới đây đã cảnh báo một chiến dịch lừa đảo mới lợi dụng tính năng của Microsoft 365 để gửi yêu cầu thanh toán cho người dùng, dụ dỗ họ đăng nhập vào tài khoản và trao quyền kiểm soát tài khoản PayPal cho kẻ tấn công.
09:00 | 30/12/2024
Là công cụ tìm kiếm phổ biến nhất trên Internet hiện nay, Google được xem như một cuốn bách khoa toàn thư trực tuyến, nơi người dùng có thể tìm kiếm thông tin và giải đáp các thắc mắc của bản thân. Không ít người dùng lựa chọn nhấn vào trang web hiện ra đầu tiên sau khi tìm kiếm trên Google. Tuy nhiên, thói quen này có thể khiến họ vô tình gặp nguy hiểm.
10:00 | 12/12/2024
Các tin tặc đã sử dụng phần mềm độc hại GodLoader mới, khai thác khả năng của công cụ trò chơi Godot được sử dụng rộng rãi để trốn tránh phát hiện và lây nhiễm hơn 17.000 hệ thống chỉ trong vài tháng, nhằm đánh cắp dữ liệu cá nhân và tiền điện tử trên máy tính mục tiêu.
16:00 | 04/12/2024
Chuyển đổi số đã đặt ra các yêu cầu mới về an toàn, an ninh mạng, kéo theo đó là bài toán về việc xây dựng lực lượng bảo đảm an toàn, an ninh mạng tinh nhuệ có kiến thức, kinh nghiệm, làm chủ công nghệ. Toạ đàm “Bàn về nguồn nhân lực an toàn thông tin chất lượng cao hiện nay” được tổ chức vào ngày 6/12 tới đây trên Tạp chí An toàn thông tin điện tử sẽ bàn luận rõ hơn về vấn đề này.
Nền tảng truyền thông xã hội Bluesky với cách thức hoạt động tương tự X (trước đây là Twitter) hiện đang trở thành sự lựa chọn ngày càng phổ biến trong cộng đồng khoa học.
09:00 | 03/02/2025
Khép lại năm 2024, Lãnh đạo Ban Cơ yếu Chính phủ, cấp ủy, lãnh đạo các cấp trong toàn lực lượng cơ yếu, nhất là đội ngũ cán bộ chủ chốt đã chủ động bám sát yêu cầu nhiệm vụ và thực tiễn, cùng với sự nỗ lực rất lớn của toàn thể cán bộ, nhân viên ngành Cơ yếu Việt Nam tổ chức triển khai đồng bộ, toàn diện trên các mặt công tác, hoàn thành tốt nhiệm vụ được giao, trong đó có nhiều nhiệm vụ hoàn thành xuất sắc, tiếp tục khẳng định vị thế, vai trò đặc biệt quan trọng của hoạt động cơ yếu. Dưới đây là 10 dấu ấn nổi bật trong năm 2024 của ngành Cơ yếu Việt Nam.
08:00 | 29/01/2025
ByteDance - công ty mẹ TikTok vừa giới thiệu mô hình trí tuệ nhân tạo (AI) mới có tên OmniHuman-1, có khả năng sản xuất video deepfake mà người dùng thông thường gần như không thể phân biệt với video thật.
08:00 | 07/02/2025