Apple trao dữ liệu người dùng cho Trung Quốc (phần 3): Giao trứng cho ác

Trung Quốc đã và đang có những "biện pháp" để bắt Apple làm việc lại cho mình sau nhiều năm bị gã khổng lồ công nghệ khai thác. Nhiều tài liệu cho thấy, chính phủ nước này đã tận dụng sự phụ thuộc vào Trung Quốc để đạt thỏa thuận với hãng trong việc kiểm soát, quản lý dữ liệu iCloud người dùng, kiểm duyệt ứng dụng.

"Giao trứng cho ác"

Với việc các khóa giải mã được lưu trữ ở Trung Quốc, chính phủ nước này có 2 cách để truy cập dữ liệu. Các chuyên gia bảo mật cho biết đó là: yêu cầu khóa giải mã hoặc lấy nó mà không cần yêu cầu. Chính quyền Trung Quốc thường xuyên yêu cầu lấy dữ liệu từ công ty nội địa để phục vụ cho những cuộc điều tra của cơ quan pháp luật. Tất cả không có quyền từ chối vì luật pháp buộc họ phải tuân thủ. Mặc dù luật pháp Mỹ từ lâu đã cấm các công ty Mỹ chuyển giao dữ liệu cho cơ quan thực thi pháp luật Trung Quốc, nhưng Apple và chính phủ Trung Quốc đã có một thỏa thuận bất thường để lách luật của Mỹ.

Tại Trung Quốc, Apple đã nhượng quyền sở hữu dữ liệu iCloud cho Guizhou-Cloud Big Data, hay GCBD, một công ty thuộc sở hữu của chính quyền tỉnh Quý Châu..;Gần đầy, hãng vừa yêu cầu người dùng Trung Quốc chấp nhận các điều khoản cũng như điều kiện mới của iCloud, trong đó có liệt kê GCBD chính là nhà cung cấp dịch vụ chủ yếu trong khi Apple chỉ là "một bên bổ sung". Apple nói thay đổi này nhằm "cải thiện dịch vụ iCloud ở Trung Quốc và tuân theo các quy định của chính phủ".

Ngoài ra, thêm một điều khoản mới khác biệt so với các nước khác là "Apple và GCBD sẽ có quyền truy cập vào tất cả dữ liệu mà người dùng lưu trữ trên iCloud, cũng như chia sẻ dữ liệu này với nhau theo quy định trong luật hiện hành". Vì thế, mỗi khi cần lấy dữ liệu người dùng iCloud, Apple sẽ không còn là công ty mà các nhà chức trách cần, thay vào đó nhiệm vụ này đã được chuyển sang cho GCBD, đại diện Apple cho biết. Theo nguồn tin nội bộ, hãng smartphone Mỹ đã tạo ra một lá chắn pháp lý giúp họ chống lại luật pháp Mỹ thông qua việc làm trên. 

GCBD từ chối bình luận các câu hỏi về quan hệ đối tác với Apple. 

Thời điểm 3 năm trước khi luật an ninh mạng của Trung Quốc có hiệu lực, Apple chưa bao giờ cung cấp dữ liệu nào trong tài khoản iCloud của người dùng cho chính quyền. Hãng còn phản đối 42 yêu cầu kiểm soát của chính phủ Trung Quốc liên quan đến lượng dữ liệu đó, theo thống kê do Apple công bố. Lý do mà họ phản đối những yêu cầu này là vì chúng hoàn toàn bất hợp pháp, đi ngược lại luật pháp Mỹ.

Tuy nhiên, 3 năm sau khi luật an ninh mạng của Trung Quốc có hiệu lực, Apple tiết lộ họ đành phải cung cấp dữ liệu của một số tài khoản iCloud cho chính phủ nước này, trong 9 trường hợp thì chỉ có thể từ chối 3. Theo The New York Times, dường như Apple vẫn cung cấp dữ liệu cho cơ quan thực thi pháp luật Mỹ, thậm chí còn nhiều hơn so với Trung Quốc. Cụ thể, từ năm 2013 đến tháng 6/2020, Apple được cho là đã chuyển dữ liệu người dùng cho chính quyền Mỹ trong 10.781 trường hợp riêng biệt.

Một khu phức hợp rộng lớn gồm các căn hộ và nhà phố đang được xây dựng đối diện với trung tâm dữ liệu của Apple ở Quý Dương

Giới chức Trung Quốc tuyên bố mục đích mà họ ban hành luật an ninh mạng nhằm để bảo vệ dữ liệu cá nhân của cư dân Trung Quốc, khỏi các thế lực bên ngoài nhòm ngó. Những người thân cận với Apple cho biết, lý do các nhà chức trách Trung Quốc không thường xuyên yêu cầu truy cập vào dữ liệu khách hàng Apple là vì họ có vô số cách để thu thập chúng. 

Dẫu vậy, dữ liệu người dùng iCloud ở Trung Quốc vẫn rất dễ bị xâm phạm, vì Apple đã thực hiện một loạt thỏa thuận cho phép họ truy cập trước đó. Dựa trên các tài liệu nội bộ về thiết kế và công nghệ bảo mật dự kiến của hệ thống iCloud Trung Quốc, xác nhận bởi một kỹ sư Apple và 4 nhà nghiên cứu bảo mật độc lập.

Thông tin từ tài liệu còn cho thấy rằng nhân viên GCBD sẽ nắm quyền kiểm soát các máy chủ dữ liệu, trong khi đội ngũ Apple đảm nhận nhiệm vụ giám sát các hoạt động bên ngoài. Các chuyên gia bảo mật cảnh báo Apple rằng việc sắp xếp nhân sự như vậy sẽ tạo ra nhiều mối đe dọa đối với dữ liệu người dùng. Matthew D. Green, giáo sư mật mã tại Đại học Johns Hopkins, cho biết: "Sẽ ra sao nếu lực lượng tình báo có quyền kiểm soát và quản lý dữ liệu của bạn, tôi không thể tưởng tượng nổi hậu quả".

Apple tuyên bố đã thiết kế công nghệ bảo mật dữ liệu iCloud "theo cách mà chỉ Apple mới có quyền kiểm soát các khóa mã hóa". Các tài liệu cũng cho thấy, công nghệ mã hóa mà Apple sử dụng tại trung tâm dữ liệu ở Trung Quốc khác biệt so với những nơi còn lại, trái ngược với những gì ông Cook đã trả lời trong một cuộc phỏng vấn năm 2018 - tất cả khóa mã hóa đều sử dụng công nghệ giống nhau. 

Các khóa mã hóa này dùng để giải mã dữ liệu iCloud và chúng được lưu trên một thiết bị chuyên dụng, còn gọi là module bảo mật phần cứng do công ty Thales của Pháp sản xuất. Ban đầu, Apple muốn sử dụng thiết bị của Thales cho trung tâm dữ liệu Trung Quốc, lưu giữ nó tại Mỹ. Tuy nhiên, hai nhân viên Apple nói rằng Trung Quốc không chấp nhận sử dụng thiết bị của Thales. Do đó, Apple đã tạo ra thiết bị mới để cất khóa giải mã tại Trung Quốc.

Các tài liệu nội bộ được tìm thấy hồi đầu năm 2020 chỉ ra, Apple sẽ xây dựng nền tảng iOS tiếp theo cho các thiết bị mới dựa trên những phiên bản iOS đời cũ. iOS là phần mềm hệ điều hành của iPhone và cũng là một trong những hệ thống bị tin tặc nhắm mục tiêu nhiều nhất. Ngoài ra, Apple còn có kế hoạch sử dụng phần cứng giá rẻ cho Apple TV. Từ các thông tin trên, các nhà nghiên cứu bảo mật cho rằng Apple đang xem nhẹ sự an toàn của người dùng iOS. Một tình trạng đáng báo động! 

Trong động thái đáp trả lại, Apple tuyên bố những tài liệu đó là lỗi thời và chứa nhiều thông tin sai lệch. Thay vào đó, hãng cho biết trung tâm dữ liệu mới ở Trung Quốc sẽ được "trang bị các công nghệ bảo mật mới nhất, tinh vi nhất", chúng cũng sẽ sớm được sử dụng ở các quốc gia khác. Theo tiết lộ từ hai nhân viên Apple, chính phủ Trung Quốc phải phê duyệt tất cả công nghệ mã hóa mà hãng sử dụng ở đây.  

Người dùng Trung Quốc xếp hàng chờ đợi Apple Store mới ở Bắc Kinh khai trương vào năm 2020

Sau khi xem xét các tài liệu, Ross J. Anderson, một nhà nghiên cứu an ninh mạng tại Đại học Cambridge, cho biết: "Tôi tin rằng Trung Quốc là nơi chiếm phần lớn tỷ lệ tin tặc tấn công iPhone hàng năm. Nhiều khả năng họ đang cố gắng đột nhập vào máy chủ". Nguồn tin trích dẫn từ tài liệu cho thấy Apple đã nỗ lực "cách ly" các máy chủ Trung Quốc khỏi hệ thống dữ liệu iCloud.

Theo The New York Times, máy chủ Trung Quốc sẽ được "thiết lập, quản lý và giám sát riêng biệt với tất cả các máy chủ khác". Hai kỹ sư của Apple cho biết, biện pháp này nhằm ngăn chặn các vi phạm an ninh ở Trung Quốc xâm nhập vào nhóm trung tâm dữ liệu bên ngoài.

Thêm vào đó, Apple nói rằng một lý do khác mà họ cô lập các trung tâm dữ liệu ở Trung Quốc là vì trên thực tế, chúng thuộc sở hữu của chính phủ nước này và hãng đang giữ tất cả bên thứ ba bị ngắt kết nối khỏi hệ thống nội bộ của mình. Tại Cupertino, California, các kỹ sư Apple đã và đang chạy đua để hoàn thiện thiết kế cho nền tảng iCloud mới tại Trung Quốc.

Theo các slide được trình chiếu trong buổi họp do Apple tổ chức với một số kỹ sư vào năm ngoái, quyền lực Trung Quốc nắm giữ là rất lớn. Do đó, "Áp lực thời gian rất khắt khe. Chúng tôi đã cam kết sẽ hoàn thành dự án tại thời điểm này từ 3 năm trước", một người trong cuộc họp cho biết. Các tài liệu cho thấy, các trung tâm dữ liệu mới ở đây sẽ bắt đầu hoạt động tháng 6 tới.

Chí Tôn