Jinu
Intern Writer
Apple luôn tự hào về khả năng bảo mật và quyền riêng tư trên các sản phẩm của mình, đặc biệt là iPhone. Những lời quảng cáo này thường khiến chúng ta tin rằng chiếc điện thoại của mình được bảo vệ tuyệt đối. Nhưng liệu điều đó có thực sự đúng khi các ứng dụng vẫn có thể âm thầm đọc được vô số dữ liệu thông thường từ thiết bị của bạn?
Để làm rõ hơn vấn đề này, nhóm nghiên cứu bảo mật Mysk đã ra mắt Loupe: What Apps Can See, một ứng dụng iOS miễn phí được thiết kế để cho người dùng thấy những thông tin mà các ứng dụng bên thứ ba có thể truy cập thông qua các API công khai của iOS. Ứng dụng này yêu cầu iOS 17 trở lên và có sẵn trên App Store cho iPhone và iPad, nằm trong mục Công cụ dành cho nhà phát triển.
Điều quan trọng cần hiểu là Loupe không phải là một công cụ gián điệp theo dõi thời gian thực xem Instagram, TikTok hay Facebook đang làm gì trên máy bạn. Thay vào đó, nó trình bày các loại "tín hiệu thiết bị" mà các ứng dụng có thể đọc từ iPhone của bạn, sử dụng chính những API công khai mà các nhà phát triển vẫn dùng. Loupe thậm chí còn cung cấp một "chuyến tham quan thực tế" về bề mặt "dấu vân tay thiết bị" (device fingerprinting). Mục đích chính là để chỉ ra cách các chi tiết tưởng chừng rất bình thường như khu vực (locale), múi giờ, thông tin màn hình, dung lượng pin, bộ nhớ, ngôn ngữ bàn phím và nhiều tín hiệu khác có thể kết hợp lại để tạo thành một "dấu vân tay" nhận dạng duy nhất.
Đây chính là điểm khiến chúng ta cảm thấy hơi bất an, bởi vì một thiết bị không cần địa chỉ email, tên hay vị trí chính xác của bạn để nhận diện bạn trên các ứng dụng và trang web khác nhau. Chỉ cần một tập hợp các chi tiết nhỏ về thiết bị cũng đủ để giúp tạo ra một dấu vân tay có thể nhận dạng được.
Mysk đã phân loại các thông tin này thành ba cấp độ rõ ràng. Đầu tiên là "tín hiệu thụ động" (Passive signals), những thông tin mà bất kỳ ứng dụng nào cũng có thể nhìn thấy mà không cần yêu cầu cấp phép, bao gồm khu vực, múi giờ, màn hình, pin và nhiều thứ khác. Cấp độ thứ hai là "cần cấp phép" (Needs Permission), bao gồm các dữ liệu sẽ kích hoạt lời nhắc cấp phép của iOS, chẳng hạn như danh bạ, ảnh, vị trí và lịch. Cuối cùng là cấp độ "nâng cao" (Advanced), bao gồm các kỹ thuật kênh phụ (side-channel techniques) như dò tìm lược đồ URL (URL-scheme probing) và duy trì dữ liệu Keychain ngay cả khi ứng dụng được cài đặt lại (Keychain persistence across app reinstalls).
Mô tả trên App Store cũng đề cập đến các ví dụ cụ thể như việc xác định những ứng dụng phổ biến nào đang được cài đặt, thời điểm chính xác một thiết bị được thiết lập hoặc xóa, kiểm tra đồ họa thông qua một trình duyệt ẩn, và thậm chí là tên trên một phụ kiện được ghép nối, điều này có thể trực tiếp tiết lộ tên của chủ sở hữu. Mysk, một nhóm nghiên cứu bảo mật nổi tiếng với việc phát hiện nhiều lỗ hổng quyền riêng tư trên smartphone trước đây, đã cho thấy qua ứng dụng mới này rằng dấu chân số của chúng ta dễ tiếp cận đến mức nào.
Để làm rõ hơn vấn đề này, nhóm nghiên cứu bảo mật Mysk đã ra mắt Loupe: What Apps Can See, một ứng dụng iOS miễn phí được thiết kế để cho người dùng thấy những thông tin mà các ứng dụng bên thứ ba có thể truy cập thông qua các API công khai của iOS. Ứng dụng này yêu cầu iOS 17 trở lên và có sẵn trên App Store cho iPhone và iPad, nằm trong mục Công cụ dành cho nhà phát triển.
Điều quan trọng cần hiểu là Loupe không phải là một công cụ gián điệp theo dõi thời gian thực xem Instagram, TikTok hay Facebook đang làm gì trên máy bạn. Thay vào đó, nó trình bày các loại "tín hiệu thiết bị" mà các ứng dụng có thể đọc từ iPhone của bạn, sử dụng chính những API công khai mà các nhà phát triển vẫn dùng. Loupe thậm chí còn cung cấp một "chuyến tham quan thực tế" về bề mặt "dấu vân tay thiết bị" (device fingerprinting). Mục đích chính là để chỉ ra cách các chi tiết tưởng chừng rất bình thường như khu vực (locale), múi giờ, thông tin màn hình, dung lượng pin, bộ nhớ, ngôn ngữ bàn phím và nhiều tín hiệu khác có thể kết hợp lại để tạo thành một "dấu vân tay" nhận dạng duy nhất.
Đây chính là điểm khiến chúng ta cảm thấy hơi bất an, bởi vì một thiết bị không cần địa chỉ email, tên hay vị trí chính xác của bạn để nhận diện bạn trên các ứng dụng và trang web khác nhau. Chỉ cần một tập hợp các chi tiết nhỏ về thiết bị cũng đủ để giúp tạo ra một dấu vân tay có thể nhận dạng được.
Mysk đã phân loại các thông tin này thành ba cấp độ rõ ràng. Đầu tiên là "tín hiệu thụ động" (Passive signals), những thông tin mà bất kỳ ứng dụng nào cũng có thể nhìn thấy mà không cần yêu cầu cấp phép, bao gồm khu vực, múi giờ, màn hình, pin và nhiều thứ khác. Cấp độ thứ hai là "cần cấp phép" (Needs Permission), bao gồm các dữ liệu sẽ kích hoạt lời nhắc cấp phép của iOS, chẳng hạn như danh bạ, ảnh, vị trí và lịch. Cuối cùng là cấp độ "nâng cao" (Advanced), bao gồm các kỹ thuật kênh phụ (side-channel techniques) như dò tìm lược đồ URL (URL-scheme probing) và duy trì dữ liệu Keychain ngay cả khi ứng dụng được cài đặt lại (Keychain persistence across app reinstalls).
Mô tả trên App Store cũng đề cập đến các ví dụ cụ thể như việc xác định những ứng dụng phổ biến nào đang được cài đặt, thời điểm chính xác một thiết bị được thiết lập hoặc xóa, kiểm tra đồ họa thông qua một trình duyệt ẩn, và thậm chí là tên trên một phụ kiện được ghép nối, điều này có thể trực tiếp tiết lộ tên của chủ sở hữu. Mysk, một nhóm nghiên cứu bảo mật nổi tiếng với việc phát hiện nhiều lỗ hổng quyền riêng tư trên smartphone trước đây, đã cho thấy qua ứng dụng mới này rằng dấu chân số của chúng ta dễ tiếp cận đến mức nào.
