Khi nhà sản xuất điện thoại Xiaomi thừa nhận thiết bị gửi thông tin cá nhân người dùng về máy chủ Trung Quốc, hãng này vấp phải sự phản đối mạnh mẽ từ khách hàng và một cuộc điều tra của chính phủ Đài Loan.

Không chỉ có vậy, nó còn khẳng định một sự thật đã tồn tại quá lâu trên thị trường di động, đó là chúng ta biết quá ít về những liên kết giữa smartphone với thế giới bên ngoài. Ngay khi bật máy, điện thoại có thể kết nối với ít nhất ba bên: công ty sản xuất, nhà mạng và nhà phát triển ứng dụng đã cài đặt.

Tất cả đều lập trình thiết bị để gửi dữ liệu về cho họ (back home) thông qua mạng di động hoặc không dây dù có được người dùng biết đến hay không. Trong trường hợp của Xiaomi, quá trình xảy ra ngay sau khi họ khởi động máy. Xiaomi biện luận điều đó giúp người dùng gửi tin nhắn SMS mà không phải trả cước cho nhà mạng bằng cách chuyển chúng qua máy chủ Xiaomi. Để làm được, hãng cần biết danh bạ của người dùng.

Tuy nhiên, theo Mikko Hypponen của hãng bảo mật F-Secure, Xiaomi sai ngay từ gốc khi tự ý thu thập danh bạ và gửi về máy chủ mà không được sự đồng ý của chủ nhân thiết bị. Không chỉ thế, nó còn không được gửi mã hóa.

Vấn đề chung của toàn ngành

Điều đáng buồn là Xiaomi không phải công ty duy nhất thu thập dữ liệu từ điện thoại. Theo Bryce Boland, Giám đốc Công nghệ khu vực châu Á – Thái Bình Dương của hãng FireEye, nhà mạng cũng có thể lấy dữ liệu để cải thiện khả năng cài đặt lần đầu trên thiết bị. Trong khi đó, nhà sản xuất lại biết được nhiều thông tin khác, từ địa điểm cho đến thời gian thiết lập máy.

Ông Boland cho rằng đây là vấn đề của toàn ngành di động, nơi các tổ chức đang thực hiện nhiều biện pháp để thu thập dữ liệu cho nhiều mục đích khác nhau, dù hợp pháp song mang đến không ít lo ngại về quyền riêng tư.

Ví dụ, nhiều nhà mạng trong điều khoản sử dụng dịch vụ đưa quyền thu thập dữ liệu cá nhân về thiết bị, máy tính và hoạt động trực tuyến, bao gồm cả website mà người dùng ghé thăm. Song, một số khách hàng lo sợ nhà mạng “lộng hành” hơn thế.

Ba năm trước, nhà mạng Mỹ bị tố cáo cài sẵn ứng dụng của hãng Carrier IQ có thể truyền thông tin cá nhân đến họ. Người dùng đã nộp đơn kiện chống lại cả hãng viễn thông lẫn các nhà sản xuất như HTC, Samsung, LG với lý do lợi dụng phần mềm để thu thập nhiều dữ liệu hơn những gì họ cần như email, tin nhắn.

Đối tượng thứ ba chính là nhà phát triển ứng dụng. Với mỗi phần mềm tải và cài đặt, chúng lại yêu cầu được truy cập dữ liệu/chức năng trên thiết bị như microphone hay vị trí.

Người dùng bị qua mặt

Không phải lúc nào người dùng cũng biết chính xác thông tin, chức năng nào ứng dụng truy cập và trả về máy chủ lập trình viên. Năm 2013, Bitdefender, công ty diệt virus của Rumani, phát hiện một trong ba ứng dụng Android gửi dữ liệu cá nhân về cho bên thứ ba sau lưng người dùng.

Ví dụ, một ứng dụng Android biến thiết bị thành đèn pin bằng cách bật mọi nguồn sáng như đèn flash, đèn hậu bàn phím. Song, người dùng khiếu nại ứng dụng lại gửi cả dữ liệu địa điểm về máy chủ để phục vụ cho mục đích quảng cáo dựa theo vị trí.

Không chỉ Android, người dùng Apple cũng không thoát khỏi nỗi lo về quyền riêng tư. Các nhà mạng kiểm soát một mã trên SIM để truy cập dữ liệu điện thoại. Bất chấp việc quản lý nghiêm ngặt ứng dụng trên kho App Store của Apple, ông Boland cho biết FireEye vẫn tìm thấy các phần mềm độc hại cho iOS và chúng gửi đi dữ liệu nhạy cảm mà người dùng không hề hay biết. “Nền tảng iPhone bảo mật hơn Android song không hoàn hảo”, ông nhận định.

Vấn đề ở đây không phải là liệu nhà sản xuất, nhà phát triển, nhà mạng có thu thập dữ liệu hay không mà là loại dữ liệu, thời điểm và mục đích của hành động. Không ai biết nó tốt hay xấu nếu không được đặt vào bối cảnh cụ thể.

Carl Pei, Giám đốc hãng điện thoại OnePlus (Trung Quốc), nêu quan điểm nhà sản xuất phải rõ ràng với người dùng về việc họ đang làm và lý do. OnePlus thu thập thông tin thống kê ẩn danh như điện thoại kích hoạt ở đâu, phiên bản máy và phần mềm đang chạy để đưa ra quyết định tốt hơn về dịch vụ và sản xuất.

Không như Xiaomi, máy chủ OnePlus được đặt tại Mỹ để người dùng có cảm giác “yên tâm hơn” nếu máy chủ đặt tại Trung Quốc. Còn theo David Rogers, người đang giảng dạy bảo mật hệ thống di động tại Đại học Oxford kiêm Chủ tịch bộ phận Bảo mật thiết bị tại Hiệp hội GSM, “truy cập thông tin người dùng là một phần trong mô hình lợi nhuận của nhiều doanh nghiệp, vì thế, họ không dễ gì để người dùng ngăn cản hành vi đánh cắp dữ liệu”.