Apple bao biện việc Safari gửi dữ liệu duyệt web cho Tencent (Trung Quốc)

Sau báo cáo của nhà nghiên cứu Matthew Green được đăng tải ngày hôm qua, cộng đồng người dùng Apple đã bày tỏ sự lo lắng về việc Táo Khuyết chia sẻ dữ liệu duyệt web của người dùng cho Tencent, một công ty công nghệ Trung Quốc. Apple đã ngay lập tức đưa ra phản hồi chính thức để "trấn an" người dùng rằng các địa chỉ URL thực sự mà người dùng truy cập sẽ không bị chia sẻ với các bên thứ ba.

Từ trước tới nay, Apple vẫn sử dụng dịch vụ Safe Browsing của Google trên Safari; song bắt đầu từ phiên bản iOS 13 và macOS Catalina, công ty đã bắt đầu sử dụng thêm dịch vụ của nhà cung cấp Tencent để tuân thủ luật pháp Trung Quốc.

Trước khi người dùng truy cập một trang web, Safari sẽ gửi thông tin về địa chỉ trang web tới các dịch vụ Google Safe Browsing và Tencent Safe Browsing để kiểm tra liệu đó có phải là trang web lừa đảo hay không. Những nhà cung cấp dịch vụ "duyệt web an toàn" (safe browsing) cũng có thể ghi lại địa chỉ IP của bạn (không có gì đảm bảo là họ không làm như vậy).

Đó cũng chính là điều giáo sư nghiên cứu bảo mật Matthew Green đã lo ngại, rằng các bên thứ ba có thể nhìn thấy địa chỉ IP của người dùng cũng như các trang web mà họ đang truy cập. Ông cho rằng nếu nhà cung cấp dịch vụ sở hữu "quyền lực" cao như vậy, chưa kể họ còn có thể "gài" một cookie theo dõi lên thiết bị của người dùng, thì những công ty này có thể dễ dàng xây dựng một hồ sơ cá nhân về hành vi lướt web của từng người dùng.

Mới đây, trang tin Bloomberg đã nhận được phản hồi chính thức từ phía Apple về vụ việc. Công ty công nghệ Mỹ cho biết các địa chỉ URL thực sự của trang web không được chia sẻ với Tencent và Google, đồng thời giải thích kĩ hơn về quy trình cảnh báo người dùng về các trang web lừa đảo. Apple cũng cho biết người dùng hoàn toàn có thể tắt tính năng này đi nếu muốn.

Tuyên bố cũng đã "xoá tan" các nghi ngờ rằng người dùng Internet tại Mỹ có thể bị gửi dữ liệu cá nhân đến công ty Trung Quốc Tencent. Apple đã làm rõ rằng hãng chỉ sử dụng Tencent làm nhà cung cấp dịch vụ duyệt web an toàn trên các thiết bị có mã vùng được cài đặt là ở lãnh thổ Trung Quốc đại lục. Dưới đây là toàn văn tuyên bố của Apple gửi đến Bloomberg:

"Apple bảo vệ quyền riêng tư của người dùng và bảo vệ dữ liệu của bạn bằng chức năng cảnh báo trang web gian lận trên Safari, một tính năng bảo mật có khả năng "gắn cờ" (flag) các trang web đã được biết là độc hại. Khi tính năng này được bật, Safari sẽ kiểm tra URL của trang web, đối chiếu với danh sách các trang web lừa đảo đã biết và hiển thị cảnh báo nếu địa chỉ URL mà người dùng đang truy cập bị nghi ngờ có hành vi gian lận, chẳng hạn như lừa đảo. Để làm điều này, Safari sử dụng danh sách các trang webđã ;được biết là độc hại từ Google, và đối với các thiết bị có mã vùng được đặt ở Trung Quốc đại lục, Safari sẽ lấy dữ liệu từ danh sách của Tencent. URL thực tế của trang web bạn truy cập không bao giờ được chia sẻ với các nhà cung cấp trình duyệt an toàn trên và tính năng này hoàn toàn có thể tắt được."

Dưới đây là cách thức hoạt động của tính năng cảnh báo trang web lừa đảo của Safari, qua đó có thể giải thích vì sao các địa chỉ web URL thực sự mà người dùng truy cập không bị chia sẻ với các nhà cung cấp dịch vụ bên thứ ba:

Quy trình kiểm tra trang web người dùng đang truy cập có trùng khớp với một danh sách các trang web độc hại đã biết trước đó hay không diễn ra trước khi Safari tải trang web, và quy trình này sẽ bắt đầu với việc kiểm tra một đoạn đầu URL đã được "băm" (hashed) có trùng khớp với cơ sở dữ liệu hay không.

Nếu Safari phát hiện ra một phần đầu URL (đã "băm) trùng khớp với cơ sở dữ liệu, phần mềm sẽ gửi đoạn "băm" đó cho các nhà cung cấp Google hoặc Tencent, để yêu cầu họ gửi một danh sách các địa chỉ URL có phần đầu trùng khớp với URL đang được kiểm tra.

Do Safari "giao tiếp" trực tiếp với Google và Tencent để thực hiện truy vấn, nên các công ty này sẽ thấy địa chỉ IP thực sự của thiết bị. Sau khi Safari nhận được danh sách các địa chỉ URL độc hại có tiền tố trùng khớp, trình duyệt này sẽ tiếp tục kiểm tra xem có URL nào trong danh sách kia trùng khớp hoàn toàn với URL đang được người dùng truy cập hay không. Quá trình này diễn ra hoàn toàn trên thiết bị cục bộ của người dùng, do đó địa chỉ URL thực sự sẽ không bao giờ bị chia sẻ với nhà cung cấp dịch vụ safe browsing của bên thứ ba.

Tuy nhiên, nếu bạn vẫn muốn tắt hoàn toàn các cảnh báo này, hãy mở menu cài đặt Settings → Safari → Fraudulent Website Warning (đối với thiết bị di động iOS). Còn trên máy tính Mac, bạn có thể mở Safari, vào menu Preferences → Security → Warn when visiting a fraudulent website.

Quang Huy