Sự việc được Nitrokey công bố từ tháng 4 năm 2022, sau khi họ tiến hành thử nghiệm trên máy điện thoại Sony Xperia XA2 trang bị chip Snapdragon 630 cài hệ điều hành /e/OS de-Google Android (phiên bản Android đã loại bỏ tất cả các dịch vụ của Google). Nhóm thử nghiệm không gắn thẻ SIM cho máy điện thoại mà để máy trao đổi dữ liệu thông qua mạng không dây nhằm mục đích kiểm soát quá trình trao đổi thông tin thông qua phần mềm Wireshark.
Ngay sau khi khởi động và kết nối mạng, máy điện thoại đã khởi tạo kết nối tới các máy chủ android.clients.google.com; connectivity.ecloud.global và izatcloud.net.
Tiếp tục nghiên cứu, nhóm thử nghiệm phát hiện các thông tin cá nhân được gửi đến máy chủ izatcloud.net của tập đoàn Qualcomm Technologies gồm: số IMEI, tên chip, số series của chip, phiên bản phần mềm XTRA, mã di động quốc gia, nhà cung cấp mạng di động, nhà sản xuất thiết bị, kiểu máy, danh sách ứng dụng trên thiết bị và địa chỉ IP. Tìm hiểu sâu hơn, Nitrokey phát hiện phần mềm XTRA của Qualcomm cung cấp cả ứng dụng xác định chính xác vị trí thiết bị điện thoại A-GPS. Các dữ liệu này được truyền qua giao thức HTTP không an toàn và không áp dụng kỹ thuật mã hóa bổ sung nào.
Sau khi công ty an ninh mạng Nitrokey công bố báo cáo trên đã thu hút rất nhiều sự quan tâm và nhận được nhiều ý kiến phản hồi bày tỏ các quan điểm khác nhau. Trong đó có cả ý kiến cho rằng Nitrokey đưa ra thông tin này nhằm quảng cáo, giới thiệu sản phẩm điện thoại di động của hãng này (NitroPhone) [1]. Theo Nitrokey thì sau 4 ngày công bố (27/4/2022) thì họ đã bị một cuộc tấn công DDoS với dung lượng 50Gbits làm ngừng website của họ trong vòng 20 giờ.
Phản ứng với sự kiện trên, Tập đoàn Quanlcomm thừa nhận việc thu thập dữ liệu trên và cho rằng, nó hoàn toàn hợp pháp, cụ thể là tuân thủ chính sách quyền riêng tư đã được đề cập của dịch vụ XTRA [2] (Dịch vụ của Qualcomm cung cấp chính xác các vị trí vệ tinh trong thời gian dài cho thiết bị di động). Việc thu thập thông tin nhằm mục đích tăng trải nghiệm của người dùng (đặc biệt là khả năng định vị chính xác của dịch vụ GPS và tối ưu lượng pin sử dụng cho dịch vụ GPS) và các dữ liệu này được xử lý ở Mỹ và lưu trữ trong vòng 90 ngày tại nhiều máy chủ trên khắp thế giới.
Một số chuyên gia cũng cho rằng việc thu thập dữ liệu của Qualcomm không nên cho là “lén lút” và bí mật, họ đã thu thập từ lâu và triển khai thông qua giao thức không mã hoá HTTP. Các nhà sản xuất chip khác như Intel, Huawei, Samsung hay Apple cũng có các ứng dụng thu thập thông tin thông qua mạng [3]. Nội dung cụ thể của các dữ liệu thu thập này được đề cập trong tài liệu riêng của mỗi hãng, trong đó có tài liệu công bố nhưng cũng có tài liệu khó tiếp cận trực tiếp.
Ví dụ như trong tài liệu Intel Privacy Notice [4] của hãng Intel cũng thông báo họ thu thập thông tin các nhân người dùng từ nhiều nguồn khác nhau như: các website của hãng khi người dùng cho phép tích hợp cookies; các sản phẩm của hãng; các phần mềm, công cụ, dịch vụ và các tính năng của hãng. Cách duy nhất để chắc chắn về các nội dung này là kiểm tra bằng các công cụ chuyên dụng (ví dụ như sử dụng phần mềm Wireshark).
Mặc dù chưa biết các thông tin cá nhân mà Qualcomm cũng như các hãng sản xuất chip khác thu thập có được sử dụng vào các mục đích nào khác, các chuyên gia an ninh mạng bày tỏ lo ngại việc dữ liệu cá nhân được truyền qua giao thức HTTP kém bảo mật sẽ ảnh hưởng đến quyền riêng tư và bảo mật thông tin người dùng. Sự việc cho thấy một yêu cầu thực tế rằng cần có sự minh bạch hơn từ các công ty công nghệ về dữ liệu họ thu thập và cách sử dụng dự liệu này. Người dùng cần được biết thông tin của họ đang được sử dụng như nào và có khả năng kiểm soát chúng hay không.
TÀI LIỆU THAM KHẢO [1] “NitroKey disappoints me,” BrixIT Blog, Apr. 25, 2023. https://blog.brixit.nl/nitrokey-dissapoints-me/ (accessed May 12, 2023). [2] “Privacy Policy | Qualcomm.” https://www.qualcomm.com/site/privacy (accessed May 12, 2023). [3] T. Claburn, “Are Qualcomm chips snooping on you? No, not quite.” https://www.theregister.com/2023/04/27/qualcomm_covert_operating_system_claim/ (accessed May 12, 2023). [4] “Intel Privacy Notice,” Intel. https://www.intel.com/content/www/us/en/privacy/intel-privacy-notice.html (accessed May 12, 2023). |
Nguyễn Như Tuấn (Ban Cơ yếu Chính phủ)
11:00 | 24/07/2019
08:00 | 26/08/2021
17:44 | 10/07/2015
10:00 | 15/11/2023
Dự kiến ngày 16/11, Trung tâm Công nghệ thông tin và Giám sát an ninh mạng (Ban Cơ yếu Chính phủ) tổ chức Hội thảo Sơ kết công tác giám sát an toàn thông tin năm 2023, nhằm đánh giá kết quả công tác giám sát an toàn thông tin trong năm và phương hướng nhiệm vụ trong giai đoạn 2020-2025.
16:00 | 09/11/2023
Sáng ngày 9/11, Trung tâm Công nghệ thông tin và Giám sát an ninh mạng (Ban Cơ yếu Chính phủ) đã tổ chức Lễ khởi công dự án xây dựng Trung tâm Giám sát an toàn mạng Quốc gia tại khu công nghệ cao Hòa Lạc.
07:00 | 23/10/2023
Trong cam kết nâng cao khả năng quản lý lỗ hổng bảo mật, Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) của Mỹ đã công bố việc tích hợp tiêu chuẩn Khung tư vấn bảo mật chung OASIS (Common Security Advisory Framework- CSAF) Phiên bản 2.0 vào các Hướng dẫn bảo mật, được điều chỉnh cho Hệ thống kiểm soát công nghiệp (ICS), Công nghệ vận hành (OT) và Thiết bị y tế.
14:00 | 13/09/2023
Người dùng Facebook và Instagram tại châu Âu sắp tới sẽ có thêm quyền kiểm soát về cách thức xem nội dung trên các trang mạng xã hội này.
Chiều ngày 16/11, tại Hà Nội, Thiếu tướng Vũ Ngọc Thiềm, Trưởng ban Ban Cơ yếu Chính phủ và Phó Chủ nhiệm Văn phòng Quốc Hội Nguyễn Mạnh Hùng đồng chủ trì buổi Lễ Ký kết Quy chế phối hợp giữa Văn phòng Quốc hội và Ban Cơ yếu Chính phủ trong công tác bảo mật, an toàn thông tin của Văn phòng Quốc hội.
09:00 | 17/11/2023
Sáng 1/12, tại Hà Nội, Bộ Quốc phòng tổ chức Buổi gặp mặt báo chí giới thiệu về Giao lưu hữu nghị Quốc phòng biên giới Việt Nam - Lào – Campuchia lần thứ nhất. Thiếu tướng Lê Xuân Sang, Phó Cục trưởng Cục Tuyên huấn/Tổng cục Chính trị QĐND Việt Nam chủ trì buổi gặp mặt. Thiếu tướng Văn Ngọc Quế, Phó Chủ nhiệm Chính trị Bộ đội Biên phòng; Đại tá Nguyễn Duy Minh, Phó Cục trưởng Cục Đối ngoại và Đại tá Lê Văn Đông, Phó Cục trưởng Cục Quân y/TCHC cùng tham gia cung cấp thông tin cho các đại biểu tham dự buổi gặp mặt.
11:00 | 01/12/2023
Quyết định 950 của Thủ tướng Chính phủ: Phê duyệt Đề án phát triển đô thị thông minh bền vững Việt Nam giai đoạn 2018 - 2025 và định hướng đến năm 2030, mở ra các định hướng trong hợp tác, phát triển giữa chính quyền đô thị các cấp với các doanh nghiệp, đối tác trong nước và quốc tế, đồng thời đang dần định hình một số xu hướng nổi bật trong xây dựng đô thị thông minh, đáng sống, phát triển bền vững tại Việt Nam.
16:00 | 30/11/2023