Ứng dụng iOS vẫn có thể âm thầm theo dõi bạn

Năm ngoái, Apple đã trình làng App Tracking Transparency (ATT), một chính sách bắt buộc, cấm các nhà phát triển ứng dụng theo dõi hoạt động của người dùng trên những ứng dụng khác, mà không nhận được sự cho phép rõ ràng trước từ họ. Những người ủng hộ quyền riêng tư đã ca ngợi sáng kiến này và Facebook cảnh báo rằng nó sẽ đánh dấu sự diệt vong nhất định đối với các công ty dựa vào quảng cáo nhắm mục tiêu. Tuy nhiên, nghiên cứu được công bố vào hồi tuần trước cho thấy, không phải lúc nào ATT cũng hạn chế việc lén lút thu thập dữ liệu cá nhân hoặc lấy dấu vân tay của người dùng.

Trọng tâm của ATT là yêu cầu người dùng phải nhấn vào nút “cho phép” xuất hiện khi ứng dụng được cài đặt. Nó sẽ hỏi: “Cho phép ứng dụng theo dõi hoạt động của bạn trên các ứng dụng và trang web của những công ty khác?” Nếu không có sự đồng ý đó, ứng dụng không thể truy cập thứ gọi là IDFA (Identifier for Advertisers) – một số nhận dạng duy nhất mà iOS hoặc iPadOS chỉ định để họ có thể theo dõi người dùng trên các ứng dụng đã cài đặt khác. Đồng thời, Apple cũng bắt đầu yêu cầu các nhà sản xuất ứng dụng cung cấp “những nhãn thông tin bảo mật”, vốn khai báo loại dữ liệu người dùng và thiết bị mà họ thu thập cungx như cách dữ liệu đó được sử dụng.

Sơ hở, bị vượt qua và các vi phạm mở

Báo cáo nghiên cứu tuần trước cho biết dù ATT hoạt động theo nhiều cách như dự định, thế nhưng, các lỗ hổng trong framework cũng tạo cơ hội cho nhiều công ty, đặc biệt những công ty lớn như Google và Facebook, khai thác các biện pháp bảo vệ bản thân và dự trữ nhiều dữ liệu hơn. Báo cáo cũng cảnh báo, bất chấp lời hứa sẽ minh bạch hơn, ATT có thể mang lại cho nhiều người dùng cảm giác sai lầm.

Các nhà nghiên cứu viết: “Nhìn chung, các quan sát của chúng tôi cho thấy , dù những thay đổi của Apple khiến việc theo dõi người dùng cá nhân trở nên khó khăn hơn, nhưng chúng thúc đẩy một phong trào phản đối và củng cố sức mạnh thị trường hiện có của các công ty gác cổng có quyền truy cập vào lượng lớn dữ liệu của bên thứ nhất. Việc làm cho các thuộc tính quyền riêng tư của ứng dụng trơ rnên minh mạch thông qua phân tích quy mô lớn vẫn là một mục tiêu khó khăn đối với các nhà nghiên cứu độc lập và là trở ngại chính đối với những biện pháp bảo vệ quyền riêng tư có ý nghĩa, có trải nghiệm và có thể xác minh được.”

Các nhà nghiên cứu cũng đã xác nhận được 9 ứng dụng iOS sử dụng mã phía máy chủ này để tạo mã định danh người dùng chung mà một công ty con của công ty công nghệ Trung Quốc Alibaba có thể sử dụng để theo dõi chéo ứng dụng. Những nhà phát triển viết: “Việc chia sẻ thông tin thiết bị cho mục đích lấy dấu vân tay sẽ vi phạm chính sách của Apple, vốn không cho phép các nhà phát triển lấy dữ liệu từ 1 thiết bị với mục đích nhận dạng duy nhất.”

Các nhà nghiên cứu cũng nói rằng Apple không bắt buộc phải tuân theo chính sách này trong nhiều trường hợp. Điều này khiến Apple bổ sung thêm vào kho dữ liệu mà họ thu thập được. Họ cũng lưu ý rằng Apple cũng miễn theo dõi cho các mục đích “thu thập thông tin về mức độ tín nhiệm của người tiêu dùng cho mục đích cụ thể là đưa ra quyết định tín dụng.”

Đại diện của Apple và Alibaba đã không trả lời ngay các email yêu cầu bình luận.

Dựa trên sự so sánh 1.685 ứng dược được xuất bản trước và sau khi ATT có hiệu lực, số lượng thư viện theo dõi mà họ sử dụng vẫn gần như giống nhau. Các thư viện được sử dụng rộng rãi nhất, bao gồm SKAdNetwork của Apple, Google Firebase Analytics và Google Crashlytics, không hề thay đổi. Gần 1/4 các ứng dụng được nghiên cứu tuyên bố rằng họ không thu thập bất kỳ dữ liệu người dùng nào, nhưng phần lớn trong số đó, khoảng 80%, chứa ít nhất một thư viện trình theo dõi.

Trung bình, nghiên cứu cho thấy, các ứng dụng tuyên bố rằng họ không thu thập dữ liệu người dùng, tuy nhiên lại chứa 1,8 thư viện theo dõi và đã liên hệ với 2,5 công ty theo dõi. Trong số các ứng dụng đã sử dụng SKAdNetwork, Google Firebase Analytics và Google Crashlytics, có hớn một nửa không tiết lộ có quyền truy cập vào dữ liệu người dùng. SDK Facebook hoạt động tốt hơn với tỉ lệ thất bại khoảng 47%.

Bật trình tích trữ dữ liệu

Sự khác biệt không chỉ nhấn mạnh những hạn chế của ATT mà còn củng cố sức mạnh của cái mà các nhà nghiên cứu gọi là “người gác cổng” và sự mờ nhạt của việc thu thập dữ liệu nói chung:

“Phát hiên của chúng tôi cho thấy rằng các công ty theo dõi, đặc biệt là những công ty lớn hơn có quyền truy cập vào nhiều nhóm lớn của bên thứ nhất, vẫn theo dõi người dùng đằng sau hậu trường. Họ có thể thực hiện điều này thông qua chức năng đăng nhập được cung cấp bởi các ứng dụng riêng lẻ (ví dụ như đăng nhập Google hoặc Facebook hay địa chỉ email). Đặc biệt là kết hợp với các đặc điểm thiết bị và người dùng khác, mà dữ liệu của chúng tôi được xác nhận là vẫn được các công ty theo dõi thu thập rộng rãi, có thể để phân tích hành vi của người dùng trên những ứng dụng và trang web (tức là lấy dấu vân tay và theo dõi thuần tập). Do đó, kết quả trực tiếp của ATT có thể là sự mất cân bằng quyền lực hiện có trong hệ sinh thái theo dõi kỹ thuật số được củng cố.

Chúng tôi thậm chí còn tìm thấy một ví dụ thực tế về Umeng, một công ty con của công ty công nghệ Trung Quốc Alibaba, sử dụng mã phía máy chủ của họ để cung cấp cho các ứng dụng một mã nhận dạng ứng dụng chéo có nguồn gốc từ dấu vân tay. Việc sử dụng dấu vân tay là vi phạm các chính sách của Apple và đặt ra những câu hỏi xung quanh mức độ mà công ty có thể thực thi những chính sách của mình. Cuối cùng, ATT có thể khuyến khích sự thay đổi công nghệ theo dõi đằng sau hậu trường, để chúng nằm ngoài tầm với của Apple. Nói cách khác, các quy tắc mới của Apple có thể dẫn đến việc theo dõi thậm chí còn kém minh bạch hơn những gì chúng ta hiện có, kể cả đối với các nhà nghiên cứu hàn lâm.”

Bất chấp những sai sót của công ty, ATT vẫn rất hữu ích. Cách dễ nhất để thực thi ATT là truy cập vào Setiings -> Privacy -> Tracking (Cài đặt -> Quyền riêng tư -> Theo dõi) và tắt “Allow Apps to Request to track” (Cho phép ứng dụng yêu cầu theo dõi). Những người muốn có thêm quyền riêng tư trên iOS nên gỡ cài đặt bất kỳ ứng dụng nào không còn cần thiết hoặc cân nhắc mua 1 ứng dụng, chẳng hạn như Guardian Firewall. Tuy nhiên, cuối cùng thì khả năng theo dõi và lấy dấu vân tay thiết bị có thể vẫn tồn tại ở một số dạng nào đó, ngay cả trong khu vườn có tường bao quanh của Apple.