Một nghiên cứu mới tiết lộ các đoạn mã theo dõi từ Meta và Yandex đang khai thác lỗ hổng trên Android, cho phép chúng liên kết lịch sử duyệt web với danh tính người dùng thực tế.
Mục lục
Bê bối xâm phạm quyền riêng tư trên diện rộng
Theo phát hiện từ các nhà nghiên cứu bảo mật, Meta (công ty mẹ của Facebook) và Yandex (gã khổng lồ công nghệ Nga) đã lợi dụng các giao thức internet hợp pháp để theo dõi người dùng Android một cách trái phép. Hệ thống theo dõi này cho phép các trình duyệt phổ biến như Chrome tự động gửi thông tin định danh duy nhất đến các ứng dụng di động cài đặt trên thiết bị.
Kỹ thuật này đặc biệt nguy hiểm vì nó biến các mã định danh tạm thời trên web thành thông tin người dùng vĩnh viễn, đánh bại các biện pháp bảo vệ quyền riêng tư cơ bản nhất trên hệ điều hành Android.
Meta Pixel và Yandex Metrica: Công cụ theo dõi “ẩn mặt”
Hai công cụ chính được sử dụng là Meta Pixel và Yandex Metrica – các đoạn mã phân tích được thiết kế để đo lường hiệu quả quảng cáo. Ước tính hiện có khoảng 5.8 triệu website sử dụng Meta Pixel và 3 triệu site sử dụng Yandex Metrica.
Cơ chế hoạt động của chúng khá phức tạp:
- Khi người dùng mở ứng dụng Facebook, Instagram hoặc Yandex, các app này sẽ chạy ngầm và lắng nghe các kết nối đến một số cổng mạng cụ thể
- Khi người dùng truy cập website có chứa các tracker này, chúng sẽ gửi request đến các cổng mà ứng dụng đang lắng nghe
- Thông qua các kỹ thuật phức tạp như SDP munging, các cookie và mã định danh sẽ được chuyển từ trình duyệt sang ứng dụng
- Cuối cùng, các công ty có thể liên kết lịch sử duyệt web với tài khoản người dùng thực
Lịch sử phát triển các kỹ thuật theo dõi
Yandex bắt đầu triển khai kỹ thuật này từ năm 2017, trong khi Meta bắt đầu từ tháng 9/2024. Đáng chú ý, Meta đã nhiều lần thay đổi phương thức để vượt qua các biện pháp bảo vệ:
- Tháng 9/2024: Sử dụng HTTP requests đến cổng 12387
- Tháng 11/2024: Chuyển sang dùng WebSocket
- Tháng 11/2024: Triển khai WebRTC với kỹ thuật SDP munging
- Tháng 5/2025: Thích ứng với phản công của Chrome bằng cách chuyển từ STUN sang TURN requests
Phản ứng từ các bên liên quan
Google xác nhận đang điều tra vụ việc và cho biết hành vi này vi phạm nghiêm trọng chính sách bảo mật của họ. Meta tuyên bố đã tạm ngừng tính năng và đang làm việc với Google để giải quyết. Yandex cũng cho biết đã dừng thực hiện và phủ nhận việc “xóa ẩn danh” dữ liệu người dùng.
Làm thế nào để tự bảo vệ?
Các chuyên gia đề xuất một số biện pháp:
- Sử dụng trình duyệt có tính năng chặn tracker mạnh như Brave, DuckDuckGo
- Hạn chế cài đặt các ứng dụng Facebook, Instagram, Yandex trên thiết bị Android
- Theo dõi và cập nhật các bản vá bảo mật mới nhất
- Xem xét sử dụng chế độ riêng tư khi duyệt web
Vụ việc này một lần nữa làm dấy lên lo ngại về quyền riêng tư trong thời đại số, đặc biệt khi các tập đoàn công nghệ lớn ngày càng tinh vi trong việc thu thập dữ liệu người dùng.
