Bạn vừa tìm dép Crocs trên mạng xã hội, hôm sau mở app mua sắm thì thấy ngay đôi đó hiện ra. Không phải trùng hợp. Không phải điện thoại đang nghe lén bạn. Sự thật đơn giản hơn, nhưng đáng lo hơn nhiều.
Điện thoại bạn có "dấu vân tay" riêng
Các ứng dụng không cần biết bạn tên gì. Chúng chỉ cần nhận ra chiếc điện thoại của bạn là đủ. Mỗi thiết bị để lại một tập hợp đặc điểm riêng: ngôn ngữ bàn phím, ngày kích hoạt máy, độ sáng màn hình, dung lượng còn lại, số SIM đang dùng, thậm chí hướng điện thoại đang nghiêng. Từng thông tin lẻ thì vô nghĩa, nhưng gộp lại thì tạo thành một "dấu vân tay thiết bị" đủ để phân biệt điện thoại bạn trong hàng triệu máy khác.
Khi bạn tìm Crocs trên app A, dấu vân tay đó được ghi lại. Khi app B nhận ra cùng thiết bị đó, nó biết ngay bạn muốn gì.
Hầu hết ứng dụng không tự xây hệ thống quảng cáo. Họ tích hợp sẵn một bộ công cụ gọi là SDK quảng cáo, bộ mã này vừa hiển thị quảng cáo cho bạn, vừa âm thầm gửi đặc điểm điện thoại về nền tảng quảng cáo trung tâm. Nhờ đó, những gì bạn tìm kiếm trong app A sẽ được nền tảng đó phân phối sang app B, C, D mà không cần hai công ty kia "bắt tay ngầm" với nhau.
Thực tế đáng sợ hơn bạn nghĩ
Một ứng dụng tên Loupe, do nhóm bảo mật Mysk phát triển, được tạo ra để người dùng tự kiểm tra xem mình đang để lộ gì. Kết quả khi thử nghiệm mà không cấp bất kỳ quyền nào: ứng dụng vẫn biết vùng cài đặt điện thoại, ngôn ngữ bàn phím, thời điểm kích hoạt máy, và thống kê clipboard chi tiết đến từng lần copy.
Khi cấp quyền truy cập album ảnh, Loupe đọc được hơn 9.000 ảnh, xác định hơn 3.000 ảnh có tọa độ GPS, sau đó suy ra nơi ở, nơi làm việc, thậm chí quê nhà chỉ từ tần suất xuất hiện tại từng địa điểm. Thông tin EXIF trong ảnh chứa kinh độ và vĩ độ chính xác đến khoảng mười mét. Khi cấp quyền mạng cục bộ, thứ mà nhiều người bấm cho phép chỉ để chiếu màn hình hay kết nối máy in, toàn bộ thiết bị trên cùng mạng WiFi hiện ra: máy tính đồng nghiệp, máy in, ổ cứng mạng.
Apple từng cố chặn, nhưng không đủ
Năm 2021, Apple ra mắt tính năng ATT (App Tracking Transparency), cho phép người dùng từ chối để ứng dụng theo dõi qua mã định danh IDFA. Nếu bạn chọn không cho phép, mã đó được đặt lại về 0.
Nhưng các nhà quảng cáo đã chuyển sang dùng dấu vân tay thiết bị như một phương án thay thế. Nhóm Mysk từng chặn và phân tích gói dữ liệu từ nhiều ứng dụng lớn, phát hiện chúng âm thầm gửi thời gian khởi động điện thoại, một tín hiệu dùng để ghép nối dấu vân tay, dù trong chính sách bảo mật đã cam kết không làm vậy.
Về phía Android, một nghiên cứu năm 2025 từ nhóm của Google phân tích 180.000 ứng dụng và 220.000 SDK, kết quả cho thấy gần 40% ứng dụng phổ biến chứa SDK thu thập dấu vân tay. Ở nhóm mạng xã hội và ứng dụng truyện tranh, con số này lên đến 82% và 88%.
Một thói quen nhỏ giúp bạn bảo vệ mình hơn
Không cần thay đổi quá nhiều, chỉ cần chú ý hơn khi cấp quyền. Với album ảnh, nên chọn "trình chọn ảnh hệ thống" thay vì cấp toàn quyền, vì iOS sẽ không tự động gửi tọa độ GPS của ảnh cho ứng dụng. Khi có cửa sổ hỏi có muốn nâng lên "toàn quyền" cho tiện không, cứ chọn giữ nguyên như cũ.
Loupe hiện miễn phí và mã nguồn mở, người dùng iPhone có thể tải về dùng thử.
Điều đáng nhớ nhất: không phải ứng dụng đang nghe lén bạn. Chúng chỉ đang đọc dấu vân tay mà chính bạn đã để lại mỗi lần nhấn "cho phép".
Điện thoại bạn có "dấu vân tay" riêng
Các ứng dụng không cần biết bạn tên gì. Chúng chỉ cần nhận ra chiếc điện thoại của bạn là đủ. Mỗi thiết bị để lại một tập hợp đặc điểm riêng: ngôn ngữ bàn phím, ngày kích hoạt máy, độ sáng màn hình, dung lượng còn lại, số SIM đang dùng, thậm chí hướng điện thoại đang nghiêng. Từng thông tin lẻ thì vô nghĩa, nhưng gộp lại thì tạo thành một "dấu vân tay thiết bị" đủ để phân biệt điện thoại bạn trong hàng triệu máy khác.
Khi bạn tìm Crocs trên app A, dấu vân tay đó được ghi lại. Khi app B nhận ra cùng thiết bị đó, nó biết ngay bạn muốn gì.
Hầu hết ứng dụng không tự xây hệ thống quảng cáo. Họ tích hợp sẵn một bộ công cụ gọi là SDK quảng cáo, bộ mã này vừa hiển thị quảng cáo cho bạn, vừa âm thầm gửi đặc điểm điện thoại về nền tảng quảng cáo trung tâm. Nhờ đó, những gì bạn tìm kiếm trong app A sẽ được nền tảng đó phân phối sang app B, C, D mà không cần hai công ty kia "bắt tay ngầm" với nhau.
Thực tế đáng sợ hơn bạn nghĩ
Một ứng dụng tên Loupe, do nhóm bảo mật Mysk phát triển, được tạo ra để người dùng tự kiểm tra xem mình đang để lộ gì. Kết quả khi thử nghiệm mà không cấp bất kỳ quyền nào: ứng dụng vẫn biết vùng cài đặt điện thoại, ngôn ngữ bàn phím, thời điểm kích hoạt máy, và thống kê clipboard chi tiết đến từng lần copy.
Khi cấp quyền truy cập album ảnh, Loupe đọc được hơn 9.000 ảnh, xác định hơn 3.000 ảnh có tọa độ GPS, sau đó suy ra nơi ở, nơi làm việc, thậm chí quê nhà chỉ từ tần suất xuất hiện tại từng địa điểm. Thông tin EXIF trong ảnh chứa kinh độ và vĩ độ chính xác đến khoảng mười mét. Khi cấp quyền mạng cục bộ, thứ mà nhiều người bấm cho phép chỉ để chiếu màn hình hay kết nối máy in, toàn bộ thiết bị trên cùng mạng WiFi hiện ra: máy tính đồng nghiệp, máy in, ổ cứng mạng.
Apple từng cố chặn, nhưng không đủ
Năm 2021, Apple ra mắt tính năng ATT (App Tracking Transparency), cho phép người dùng từ chối để ứng dụng theo dõi qua mã định danh IDFA. Nếu bạn chọn không cho phép, mã đó được đặt lại về 0.
Nhưng các nhà quảng cáo đã chuyển sang dùng dấu vân tay thiết bị như một phương án thay thế. Nhóm Mysk từng chặn và phân tích gói dữ liệu từ nhiều ứng dụng lớn, phát hiện chúng âm thầm gửi thời gian khởi động điện thoại, một tín hiệu dùng để ghép nối dấu vân tay, dù trong chính sách bảo mật đã cam kết không làm vậy.
Về phía Android, một nghiên cứu năm 2025 từ nhóm của Google phân tích 180.000 ứng dụng và 220.000 SDK, kết quả cho thấy gần 40% ứng dụng phổ biến chứa SDK thu thập dấu vân tay. Ở nhóm mạng xã hội và ứng dụng truyện tranh, con số này lên đến 82% và 88%.
Một thói quen nhỏ giúp bạn bảo vệ mình hơn
Không cần thay đổi quá nhiều, chỉ cần chú ý hơn khi cấp quyền. Với album ảnh, nên chọn "trình chọn ảnh hệ thống" thay vì cấp toàn quyền, vì iOS sẽ không tự động gửi tọa độ GPS của ảnh cho ứng dụng. Khi có cửa sổ hỏi có muốn nâng lên "toàn quyền" cho tiện không, cứ chọn giữ nguyên như cũ.
Loupe hiện miễn phí và mã nguồn mở, người dùng iPhone có thể tải về dùng thử.
Điều đáng nhớ nhất: không phải ứng dụng đang nghe lén bạn. Chúng chỉ đang đọc dấu vân tay mà chính bạn đã để lại mỗi lần nhấn "cho phép".
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
