Sự việc được Nitrokey công bố từ tháng 4 năm 2022, sau khi họ tiến hành thử nghiệm trên máy điện thoại Sony Xperia XA2 trang bị chip Snapdragon 630 cài hệ điều hành /e/OS de-Google Android (phiên bản Android đã loại bỏ tất cả các dịch vụ của Google). Nhóm thử nghiệm không gắn thẻ SIM cho máy điện thoại mà để máy trao đổi dữ liệu thông qua mạng không dây nhằm mục đích kiểm soát quá trình trao đổi thông tin thông qua phần mềm Wireshark.
Ngay sau khi khởi động và kết nối mạng, máy điện thoại đã khởi tạo kết nối tới các máy chủ android.clients.google.com; connectivity.ecloud.global và izatcloud.net.
Tiếp tục nghiên cứu, nhóm thử nghiệm phát hiện các thông tin cá nhân được gửi đến máy chủ izatcloud.net của tập đoàn Qualcomm Technologies gồm: số IMEI, tên chip, số series của chip, phiên bản phần mềm XTRA, mã di động quốc gia, nhà cung cấp mạng di động, nhà sản xuất thiết bị, kiểu máy, danh sách ứng dụng trên thiết bị và địa chỉ IP. Tìm hiểu sâu hơn, Nitrokey phát hiện phần mềm XTRA của Qualcomm cung cấp cả ứng dụng xác định chính xác vị trí thiết bị điện thoại A-GPS. Các dữ liệu này được truyền qua giao thức HTTP không an toàn và không áp dụng kỹ thuật mã hóa bổ sung nào.
Sau khi công ty an ninh mạng Nitrokey công bố báo cáo trên đã thu hút rất nhiều sự quan tâm và nhận được nhiều ý kiến phản hồi bày tỏ các quan điểm khác nhau. Trong đó có cả ý kiến cho rằng Nitrokey đưa ra thông tin này nhằm quảng cáo, giới thiệu sản phẩm điện thoại di động của hãng này (NitroPhone) [1]. Theo Nitrokey thì sau 4 ngày công bố (27/4/2022) thì họ đã bị một cuộc tấn công DDoS với dung lượng 50Gbits làm ngừng website của họ trong vòng 20 giờ.
Phản ứng với sự kiện trên, Tập đoàn Quanlcomm thừa nhận việc thu thập dữ liệu trên và cho rằng, nó hoàn toàn hợp pháp, cụ thể là tuân thủ chính sách quyền riêng tư đã được đề cập của dịch vụ XTRA [2] (Dịch vụ của Qualcomm cung cấp chính xác các vị trí vệ tinh trong thời gian dài cho thiết bị di động). Việc thu thập thông tin nhằm mục đích tăng trải nghiệm của người dùng (đặc biệt là khả năng định vị chính xác của dịch vụ GPS và tối ưu lượng pin sử dụng cho dịch vụ GPS) và các dữ liệu này được xử lý ở Mỹ và lưu trữ trong vòng 90 ngày tại nhiều máy chủ trên khắp thế giới.
Một số chuyên gia cũng cho rằng việc thu thập dữ liệu của Qualcomm không nên cho là “lén lút” và bí mật, họ đã thu thập từ lâu và triển khai thông qua giao thức không mã hoá HTTP. Các nhà sản xuất chip khác như Intel, Huawei, Samsung hay Apple cũng có các ứng dụng thu thập thông tin thông qua mạng [3]. Nội dung cụ thể của các dữ liệu thu thập này được đề cập trong tài liệu riêng của mỗi hãng, trong đó có tài liệu công bố nhưng cũng có tài liệu khó tiếp cận trực tiếp.
Ví dụ như trong tài liệu Intel Privacy Notice [4] của hãng Intel cũng thông báo họ thu thập thông tin các nhân người dùng từ nhiều nguồn khác nhau như: các website của hãng khi người dùng cho phép tích hợp cookies; các sản phẩm của hãng; các phần mềm, công cụ, dịch vụ và các tính năng của hãng. Cách duy nhất để chắc chắn về các nội dung này là kiểm tra bằng các công cụ chuyên dụng (ví dụ như sử dụng phần mềm Wireshark).
Mặc dù chưa biết các thông tin cá nhân mà Qualcomm cũng như các hãng sản xuất chip khác thu thập có được sử dụng vào các mục đích nào khác, các chuyên gia an ninh mạng bày tỏ lo ngại việc dữ liệu cá nhân được truyền qua giao thức HTTP kém bảo mật sẽ ảnh hưởng đến quyền riêng tư và bảo mật thông tin người dùng. Sự việc cho thấy một yêu cầu thực tế rằng cần có sự minh bạch hơn từ các công ty công nghệ về dữ liệu họ thu thập và cách sử dụng dự liệu này. Người dùng cần được biết thông tin của họ đang được sử dụng như nào và có khả năng kiểm soát chúng hay không.
TÀI LIỆU THAM KHẢO [1] “NitroKey disappoints me,” BrixIT Blog, Apr. 25, 2023. https://blog.brixit.nl/nitrokey-dissapoints-me/ (accessed May 12, 2023). [2] “Privacy Policy | Qualcomm.” https://www.qualcomm.com/site/privacy (accessed May 12, 2023). [3] T. Claburn, “Are Qualcomm chips snooping on you? No, not quite.” https://www.theregister.com/2023/04/27/qualcomm_covert_operating_system_claim/ (accessed May 12, 2023). [4] “Intel Privacy Notice,” Intel. https://www.intel.com/content/www/us/en/privacy/intel-privacy-notice.html (accessed May 12, 2023). |
Nguyễn Như Tuấn (Ban Cơ yếu Chính phủ)
11:00 | 24/07/2019
08:00 | 26/08/2021
17:44 | 10/07/2015
10:00 | 02/06/2023
Một kỹ thuật lừa đảo mới với tên gọi là “File Archiver In The Browser” (Trình lưu trữ tệp trong trình duyệt) lạm dụng các tên miền ZIP bằng cách hiển thị các cửa sổ WinRAR hoặc Windows File Explorer giả mạo trong trình duyệt để đánh lừa người dùng khởi chạy các tệp độc hại.
11:00 | 19/04/2023
Các nhà nghiên cứu của công ty an ninh mạng Trustwave SpiderLabs (Mỹ) đã phát hiện ra một tiện ích mở rộng trình duyệt độc hại mới có tên “Rilide”, nhắm mục tiêu đến các sản phẩm dựa trên Chromium như Google Chrome, Brave, Opera và Microsoft Edge.
09:00 | 06/04/2023
Chiều ngày 04/4/2023, tại trụ sở Ban Cơ yếu Chính phủ đã diễn ra Hội nghị sơ kết thực hiện Kế hoạch triển khai thực hiện bảo đảm bảo mật, an toàn thông tin cho các hệ thống thông tin của các cơ quan Đảng theo Quyết định số 27-QĐ/TW ngày 10/8/2021 của Ban Bí thư.
14:00 | 04/04/2023
Danh sách nội dung “đã được xác thực” trên mạng (White List) sử dụng cho hoạt động quảng cáo vừa được Bộ TT&TT công bố. Đây là trang web của các nhãn hàng, doanh nghiệp được khuyến khích cung cấp dịch vụ quảng cáo.
Chính phủ Mỹ hôm 4/5/2023 đã công bố các hành động mới nhằm thúc đẩy hơn nữa sự đổi mới có trách nhiệm của Mỹ trong lĩnh vực trí tuệ nhân tạo (AI) và bảo vệ quyền cũng như sự an toàn của người dân. Nhà Trắng thông báo Quỹ khoa học quốc gia sẽ đầu tư 140 triệu USD để lập 07 Viện nghiên cứu về trí tuệ nhân tạo (AI) và công bố hướng dẫn mới về việc sử dụng công nghệ tiên tiến này.
07:00 | 17/05/2023
Tiếp tục chương trình làm việc với các Tỉnh ủy, Thành ủy về công tác cơ yếu, bảo mật và an toàn thông tin, ngày 26/5/2023, Đoàn công tác của Ban Cơ yếu Chính phủ do đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban Ban Cơ yếu Chính phủ làm trưởng đoàn đã làm việc tại hai tỉnh Hải Dương và Hưng Yên.
14:00 | 27/05/2023
Theo một báo cáo gần đây dựa trên phân tích toàn cầu của công ty an ninh mạng Imperva (Mỹ), bot chiếm 47,4 % tổng lưu lượng truy cập Internet vào năm 2022. Ngoài ra, Imperva cũng nêu lên những lo ngại đáng kể liên quan đến sự phát triển của công nghệ bot độc hại.
16:00 | 29/05/2023