Dũng Đỗ
Writer
Một nhóm nghiên cứu bảo mật uy tín từ châu Âu cho biết Meta (công ty mẹ của Facebook và Instagram) đã lợi dụng một kỹ thuật tinh vi để thu thập dữ liệu duyệt web của người dùng từ tháng 9/2024. Hãng chỉ âm thầm gỡ bỏ phương thức này sau khi báo cáo của họ được công bố.
Meta bị cáo buộc bí mật thu thập dữ liệu duyệt web
Facebook và Instagram – hai trong số những nền tảng mạng xã hội lớn nhất thế giới thuộc sở hữu của tập đoàn Meta – vừa bị cáo buộc đã bí mật thu thập dữ liệu duyệt web của người dùng hệ điều hành Android kể từ tháng 9 năm 2024 mà không có bất kỳ một sự đồng thuận rõ ràng nào từ phía họ. Đáng báo động hơn, chỉ đến khi một nhóm các nhà nghiên cứu bảo mật quốc tế công bố phát hiện của mình, Meta mới âm thầm vô hiệu hóa cơ chế theo dõi này.
Theo trang tin Sammobile, kết luận trên được đưa ra bởi một nhóm các chuyên gia bảo mật đến từ ba tổ chức nghiên cứu uy tín hàng đầu châu Âu, bao gồm Đại học Radboud (Hà Lan), Viện Mạng IMDEA (Tây Ban Nha) và Đại học KU Leuven (Bỉ), sau một quá trình kéo dài nhiều tháng để phân tích về hành vi thu thập dữ liệu của các ứng dụng do Meta phát triển.
Kỹ thuật khai thác "Localhost" tinh vi, vượt mặt cả cơ chế bảo mật của Android
Cụ thể, nghiên cứu đã phát hiện ra rằng các ứng dụng Facebook và Instagram trên Android đã lợi dụng một kỹ thuật khai thác kết nối nội bộ có tên là "localhost". Kỹ thuật này cho phép thiết lập một cổng liên lạc trực tiếp giữa trình duyệt web (như Chrome, Firefox...) và ứng dụng (Facebook hoặc Instagram) trên cùng một thiết bị. Thông qua cổng liên lạc này, ứng dụng của Meta có thể theo dõi được nội dung và lịch sử duyệt web của người dùng.
Điều đáng lo ngại nhất là phương pháp này vẫn hoạt động hiệu quả ngay cả khi người dùng đang sử dụng chế độ ẩn danh (incognito mode) trên trình duyệt hoặc đã bật các ứng dụng VPN (mạng riêng ảo) nhằm mục đích tăng cường quyền riêng tư và bảo mật.
Phương thức này đã qua mặt được cả cơ chế "sandboxing" (hộp cát) của Android – một trong những lớp bảo vệ cốt lõi được thiết kế để ngăn chặn các ứng dụng có thể tự ý truy cập vào dữ liệu từ các ứng dụng khác được cài đặt trên cùng một thiết bị. Thêm vào đó, kỹ thuật này không yêu cầu bất kỳ một quyền truy cập đặc biệt nào từ phía người dùng (ví dụ như quyền truy cập vào danh bạ, vị trí hay bộ nhớ), và hầu như không thể bị phát hiện bằng các công cụ bảo mật thông thường.
Phản ứng từ Meta và Google
Sau khi báo cáo của nhóm nghiên cứu được công bố rộng rãi, Meta được cho là đã âm thầm ngừng hoạt động của cơ chế theo dõi nói trên. Đồng thời, công ty này cho biết họ đang trong quá trình phối hợp với Google để "làm rõ các điều khoản liên quan" đến vấn đề này. Tuy nhiên, Meta đã không thừa nhận bất kỳ một hành vi vi phạm nào trong các tuyên bố của mình.
Trong khi đó, về phía Google, "cha đẻ" của hệ điều hành Android, đã khẳng định rằng kỹ thuật được Meta sử dụng đã vi phạm một cách nghiêm trọng các chính sách dành cho nhà phát triển trên nền tảng Android, đặc biệt là những quy định quan trọng liên quan đến quyền riêng tư của người dùng và nguyên tắc cách ly ứng dụng (app isolation).
Sự việc này một lần nữa làm dấy lên những lo ngại vô cùng nghiêm trọng về vấn đề quyền riêng tư của người dùng trên các thiết bị Android, khi một quá trình thu thập dữ liệu nhạy cảm có thể đã diễn ra một cách âm thầm, vượt ra ngoài tầm kiểm soát của cả người dùng lẫn các hệ thống bảo mật mặc định của nền tảng. Vụ việc cũng đặt ra câu hỏi về trách nhiệm của các tập đoàn công nghệ lớn trong việc bảo vệ dữ liệu cá nhân và sự minh bạch trong hoạt động của họ.
Meta bị cáo buộc bí mật thu thập dữ liệu duyệt web
Facebook và Instagram – hai trong số những nền tảng mạng xã hội lớn nhất thế giới thuộc sở hữu của tập đoàn Meta – vừa bị cáo buộc đã bí mật thu thập dữ liệu duyệt web của người dùng hệ điều hành Android kể từ tháng 9 năm 2024 mà không có bất kỳ một sự đồng thuận rõ ràng nào từ phía họ. Đáng báo động hơn, chỉ đến khi một nhóm các nhà nghiên cứu bảo mật quốc tế công bố phát hiện của mình, Meta mới âm thầm vô hiệu hóa cơ chế theo dõi này.
Theo trang tin Sammobile, kết luận trên được đưa ra bởi một nhóm các chuyên gia bảo mật đến từ ba tổ chức nghiên cứu uy tín hàng đầu châu Âu, bao gồm Đại học Radboud (Hà Lan), Viện Mạng IMDEA (Tây Ban Nha) và Đại học KU Leuven (Bỉ), sau một quá trình kéo dài nhiều tháng để phân tích về hành vi thu thập dữ liệu của các ứng dụng do Meta phát triển.
Kỹ thuật khai thác "Localhost" tinh vi, vượt mặt cả cơ chế bảo mật của Android
Cụ thể, nghiên cứu đã phát hiện ra rằng các ứng dụng Facebook và Instagram trên Android đã lợi dụng một kỹ thuật khai thác kết nối nội bộ có tên là "localhost". Kỹ thuật này cho phép thiết lập một cổng liên lạc trực tiếp giữa trình duyệt web (như Chrome, Firefox...) và ứng dụng (Facebook hoặc Instagram) trên cùng một thiết bị. Thông qua cổng liên lạc này, ứng dụng của Meta có thể theo dõi được nội dung và lịch sử duyệt web của người dùng.
Điều đáng lo ngại nhất là phương pháp này vẫn hoạt động hiệu quả ngay cả khi người dùng đang sử dụng chế độ ẩn danh (incognito mode) trên trình duyệt hoặc đã bật các ứng dụng VPN (mạng riêng ảo) nhằm mục đích tăng cường quyền riêng tư và bảo mật.
Phương thức này đã qua mặt được cả cơ chế "sandboxing" (hộp cát) của Android – một trong những lớp bảo vệ cốt lõi được thiết kế để ngăn chặn các ứng dụng có thể tự ý truy cập vào dữ liệu từ các ứng dụng khác được cài đặt trên cùng một thiết bị. Thêm vào đó, kỹ thuật này không yêu cầu bất kỳ một quyền truy cập đặc biệt nào từ phía người dùng (ví dụ như quyền truy cập vào danh bạ, vị trí hay bộ nhớ), và hầu như không thể bị phát hiện bằng các công cụ bảo mật thông thường.
Phản ứng từ Meta và Google
Sau khi báo cáo của nhóm nghiên cứu được công bố rộng rãi, Meta được cho là đã âm thầm ngừng hoạt động của cơ chế theo dõi nói trên. Đồng thời, công ty này cho biết họ đang trong quá trình phối hợp với Google để "làm rõ các điều khoản liên quan" đến vấn đề này. Tuy nhiên, Meta đã không thừa nhận bất kỳ một hành vi vi phạm nào trong các tuyên bố của mình.
Trong khi đó, về phía Google, "cha đẻ" của hệ điều hành Android, đã khẳng định rằng kỹ thuật được Meta sử dụng đã vi phạm một cách nghiêm trọng các chính sách dành cho nhà phát triển trên nền tảng Android, đặc biệt là những quy định quan trọng liên quan đến quyền riêng tư của người dùng và nguyên tắc cách ly ứng dụng (app isolation).
Sự việc này một lần nữa làm dấy lên những lo ngại vô cùng nghiêm trọng về vấn đề quyền riêng tư của người dùng trên các thiết bị Android, khi một quá trình thu thập dữ liệu nhạy cảm có thể đã diễn ra một cách âm thầm, vượt ra ngoài tầm kiểm soát của cả người dùng lẫn các hệ thống bảo mật mặc định của nền tảng. Vụ việc cũng đặt ra câu hỏi về trách nhiệm của các tập đoàn công nghệ lớn trong việc bảo vệ dữ liệu cá nhân và sự minh bạch trong hoạt động của họ.
