Sự việc được Nitrokey công bố từ tháng 4 năm 2022, sau khi họ tiến hành thử nghiệm trên máy điện thoại Sony Xperia XA2 trang bị chip Snapdragon 630 cài hệ điều hành /e/OS de-Google Android (phiên bản Android đã loại bỏ tất cả các dịch vụ của Google). Nhóm thử nghiệm không gắn thẻ SIM cho máy điện thoại mà để máy trao đổi dữ liệu thông qua mạng không dây nhằm mục đích kiểm soát quá trình trao đổi thông tin thông qua phần mềm Wireshark.
Ngay sau khi khởi động và kết nối mạng, máy điện thoại đã khởi tạo kết nối tới các máy chủ android.clients.google.com; connectivity.ecloud.global và izatcloud.net.
Tiếp tục nghiên cứu, nhóm thử nghiệm phát hiện các thông tin cá nhân được gửi đến máy chủ izatcloud.net của tập đoàn Qualcomm Technologies gồm: số IMEI, tên chip, số series của chip, phiên bản phần mềm XTRA, mã di động quốc gia, nhà cung cấp mạng di động, nhà sản xuất thiết bị, kiểu máy, danh sách ứng dụng trên thiết bị và địa chỉ IP. Tìm hiểu sâu hơn, Nitrokey phát hiện phần mềm XTRA của Qualcomm cung cấp cả ứng dụng xác định chính xác vị trí thiết bị điện thoại A-GPS. Các dữ liệu này được truyền qua giao thức HTTP không an toàn và không áp dụng kỹ thuật mã hóa bổ sung nào.
Sau khi công ty an ninh mạng Nitrokey công bố báo cáo trên đã thu hút rất nhiều sự quan tâm và nhận được nhiều ý kiến phản hồi bày tỏ các quan điểm khác nhau. Trong đó có cả ý kiến cho rằng Nitrokey đưa ra thông tin này nhằm quảng cáo, giới thiệu sản phẩm điện thoại di động của hãng này (NitroPhone) [1]. Theo Nitrokey thì sau 4 ngày công bố (27/4/2022) thì họ đã bị một cuộc tấn công DDoS với dung lượng 50Gbits làm ngừng website của họ trong vòng 20 giờ.
Phản ứng với sự kiện trên, Tập đoàn Quanlcomm thừa nhận việc thu thập dữ liệu trên và cho rằng, nó hoàn toàn hợp pháp, cụ thể là tuân thủ chính sách quyền riêng tư đã được đề cập của dịch vụ XTRA [2] (Dịch vụ của Qualcomm cung cấp chính xác các vị trí vệ tinh trong thời gian dài cho thiết bị di động). Việc thu thập thông tin nhằm mục đích tăng trải nghiệm của người dùng (đặc biệt là khả năng định vị chính xác của dịch vụ GPS và tối ưu lượng pin sử dụng cho dịch vụ GPS) và các dữ liệu này được xử lý ở Mỹ và lưu trữ trong vòng 90 ngày tại nhiều máy chủ trên khắp thế giới.
Một số chuyên gia cũng cho rằng việc thu thập dữ liệu của Qualcomm không nên cho là “lén lút” và bí mật, họ đã thu thập từ lâu và triển khai thông qua giao thức không mã hoá HTTP. Các nhà sản xuất chip khác như Intel, Huawei, Samsung hay Apple cũng có các ứng dụng thu thập thông tin thông qua mạng [3]. Nội dung cụ thể của các dữ liệu thu thập này được đề cập trong tài liệu riêng của mỗi hãng, trong đó có tài liệu công bố nhưng cũng có tài liệu khó tiếp cận trực tiếp.
Ví dụ như trong tài liệu Intel Privacy Notice [4] của hãng Intel cũng thông báo họ thu thập thông tin các nhân người dùng từ nhiều nguồn khác nhau như: các website của hãng khi người dùng cho phép tích hợp cookies; các sản phẩm của hãng; các phần mềm, công cụ, dịch vụ và các tính năng của hãng. Cách duy nhất để chắc chắn về các nội dung này là kiểm tra bằng các công cụ chuyên dụng (ví dụ như sử dụng phần mềm Wireshark).
Mặc dù chưa biết các thông tin cá nhân mà Qualcomm cũng như các hãng sản xuất chip khác thu thập có được sử dụng vào các mục đích nào khác, các chuyên gia an ninh mạng bày tỏ lo ngại việc dữ liệu cá nhân được truyền qua giao thức HTTP kém bảo mật sẽ ảnh hưởng đến quyền riêng tư và bảo mật thông tin người dùng. Sự việc cho thấy một yêu cầu thực tế rằng cần có sự minh bạch hơn từ các công ty công nghệ về dữ liệu họ thu thập và cách sử dụng dự liệu này. Người dùng cần được biết thông tin của họ đang được sử dụng như nào và có khả năng kiểm soát chúng hay không.
TÀI LIỆU THAM KHẢO [1] “NitroKey disappoints me,” BrixIT Blog, Apr. 25, 2023. https://blog.brixit.nl/nitrokey-dissapoints-me/ (accessed May 12, 2023). [2] “Privacy Policy | Qualcomm.” https://www.qualcomm.com/site/privacy (accessed May 12, 2023). [3] T. Claburn, “Are Qualcomm chips snooping on you? No, not quite.” https://www.theregister.com/2023/04/27/qualcomm_covert_operating_system_claim/ (accessed May 12, 2023). [4] “Intel Privacy Notice,” Intel. https://www.intel.com/content/www/us/en/privacy/intel-privacy-notice.html (accessed May 12, 2023). |
Nguyễn Như Tuấn (Ban Cơ yếu Chính phủ)
11:00 | 24/07/2019
08:00 | 26/08/2021
17:44 | 10/07/2015
13:00 | 17/04/2024
Vào ngày 24/4 tới đây tại Hà Nội, Hiệp hội Blockchain Việt Nam phối hợp Viện công nghệ Blockchain và trí tuệ nhân tạo tổ chức Hội thảo Blockchain & AI: cuộc cách mạng tương lai. Hội thảo được tổ chức với mục tiêu tạo dựng diễn đàn đa phương để các cơ quan quản lý nhà nước, tổ chức xã hội nghề nghiệp, cá nhân, doanh nghiệp công nghệ pháp lý tài chính ngành Blockchain và trí tuệ nhân tạo (AI), Nhà cung cấp dịch vụ tài sản ảo (VASP) trong và ngoài nước có cơ hội đối thoại trực tiếp,
14:00 | 22/02/2024
Ngày 15/02/2024, Chính phủ Mỹ cho biết đã phá vỡ và vô hiệu hóa một mạng lưới botnet bao gồm hàng trăm bộ định tuyến văn phòng nhỏ/văn phòng tại nhà (SOHO) tại quốc gia này, đang được các tin tặc APT28 sử dụng trong các chiến dịch phân phối phần mềm độc hại và hoạt động gián điệp mạng.
09:00 | 09/01/2024
Ngày 6/1, các đội sinh viên thuộc Học viện Kỹ thuật mật mã đã xuất sắc giành cả ba giải Nhất, Nhì, Ba tại cuộc thi “CSTV - Capture the flag 2023”. Cuộc thi do Làng Công nghệ An toàn an ninh thông tin tổ chức dành cho sinh viên các trường đại học trên toàn quốc.
13:00 | 29/12/2023
Năm 2023 đã khép lại với nhiều kết quả nổi bật trong lĩnh vực bảo mật và an toàn, an ninh mạng. Kính mời Quý độc giả cùng điểm lại 10 dấu ấn nội bật về an toàn, an ninh mạng Việt Nam trong năm qua, dựa trên bình chọn, đánh giá của Tạp chí An toàn thông tin.
Chiều 17/4, tại Hà Nội diễn ra Lễ công bố quyết định và trao tặng Bằng khen của Viện trưởng Viện Kiểm sát nhân dân tối cao đối với tập thể, cá nhân Cục Cơ yếu Đảng - Chính quyền (Ban Cơ yếu Chính phủ), vì đã có thành tích xuất sắc trong việc xây dựng Quy chế phối hợp giữa Viện Kiểm sát nhân dân tối cao và Ban Cơ yếu Chính phủ.
16:00 | 19/04/2024
Hướng tới kỷ niệm 80 năm Ngày truyền thống ngành Cơ yếu Việt Nam (12/9/1945 - 12/9/2025), Ban Cơ yếu Chính phủ đã ban hành Kế hoạch phát động Cuộc thi sáng tác nghệ thuật thơ, ca khúc về Ngành Cơ yếu Việt Nam.
10:00 | 16/04/2024
Ngày 03/4 vừa qua, Microsoft và công ty điện toán Quantinuum đưa ra thông báo về việc hai công ty này đã đạt được thỏa thuận then chốt trong quá trình phát triển các máy tính lượng tử khả thi về mặt thương mại.
12:00 | 12/04/2024