Ứng dụng của Nhà Trắng làm dấy lên lo ngại về quyền riêng tư liên quan đến dữ liệu vị trí đối với tiền mã hóa

Một ứng dụng của chính phủ được phát hành trong tuần này đã thổi bùng một cuộc tranh luận về theo dõi vị trí, thu thập dữ liệu và bảo mật, khi các nhà nghiên cứu và những người ủng hộ quyền riêng tư kêu gọi xem xét kỹ hơn những quyền mà ứng dụng yêu cầu. Tòa Bạch Ốc đã triển khai ứng dụng vào thứ Sáu, định vị nó như một kênh trực tiếp với chính quyền để nhận tin nóng, phát trực tiếp và các cập nhật về chính sách.

Các nhà phê bình cho rằng mô hình quyền của ứng dụng đặt ra những câu hỏi về quyền riêng tư, đặc biệt vì các danh sách sản phẩm trên Google Play và App Store của Apple không hiển thị cảnh báo rõ ràng về quyền truy cập được yêu cầu. Chính sách quyền riêng tư của Tòa Bạch Ốc mô tả cách xử lý dữ liệu trông có vẻ rộng hơn so với mục đích sử dụng mà ứng dụng nêu ra, lưu ý rằng ứng dụng tự động lưu trữ các thông tin như địa chỉ IP gốc và các dữ liệu cơ bản khác, và có thể lưu giữ tên thuê bao và địa chỉ email—dù việc cung cấp thông tin đó không phải là bắt buộc để sử dụng ứng dụng.

Về bề ngoài, ứng dụng được tiếp thị như một kênh liên lạc minh bạch, nhưng các phân tích độc lập đã phát hiện những khía cạnh thu thập dữ liệu bất thường, đặc biệt là việc đưa “dịch vụ vị trí” vào một công cụ không có các tính năng dựa trên vị trí nào hiển nhiên như bản đồ, nội dung có rào địa lý (geofenced) hoặc thời tiết. Một nhà phát triển phần mềm sử dụng tài khoản X Thereallo, cùng với Adam—một kỹ sư bảo mật và kiến trúc sư hạ tầng—đã xác định mã có thể bật quyền truy cập GPS trên thiết bị. Họ cho rằng việc dùng GPS trong bối cảnh này là không điển hình và xứng đáng được xem xét kỹ hơn. Để có bối cảnh, các quan sát của họ chưa được xác minh độc lập.

Adam lưu ý rằng chỉ riêng sự tồn tại của khả năng theo dõi vị trí cũng có thể tạo ra rủi ro, đặc biệt nếu chức năng như vậy có thể được kích hoạt bởi một bản cập nhật hoặc bị một tác nhân độc hại khai thác. “Không có bản đồ, không có tin tức địa phương, không có geofencing, không có sự kiện gần bạn, không có thời tiết. Không có gì trong ứng dụng yêu cầu vị trí,” ông nói, nhấn mạnh sự không khớp giữa mục đích sử dụng kỳ vọng và các quyền mà ứng dụng đang yêu cầu.

Đánh giá bảo mật và các vectơ rủi ro

Thereallo đã công bố một phân tích sâu hơn, gợi ý rằng ứng dụng có thể chứa mã cho phép theo dõi một thiết bị sau mỗi 4.5 phút khi ở chế độ nền trước và mỗi 9.5 phút khi ở chế độ nền, dù yêu cầu này chưa được xác thực độc lập. Các nhà nghiên cứu nhấn mạnh rằng dù ứng dụng vẫn cần quyền, cơ sở hạ tầng theo dõi bên dưới có thể được kích hoạt với một cơ chế kích hoạt tối thiểu trong các điều kiện phù hợp. Ngoài dữ liệu GPS, họ cũng nêu ra việc thu thập các tương tác thông báo, lượt bấm tin nhắn trong ứng dụng và số điện thoại.

“Không có máy chủ nào bị thăm dò. Không có lưu lượng mạng nào bị chặn bắt. Không vượt qua DRM. Không sử dụng các công cụ cần jailbreak. Mọi thứ được mô tả ở đây đều có thể quan sát bởi bất kỳ ai tải ứng dụng từ App Store và có một thiết bị đầu cuối.”

Các cuộc thảo luận cũng chạm tới những lo ngại bảo mật rộng hơn. Adam cảnh báo rằng bảo mật của ứng dụng có thể bị tổn thương trước việc bị chặn bắt hoặc thao túng bởi các tác nhân có kỹ năng trên cùng mạng Wi‑Fi, chẳng hạn ở không gian công cộng, hoặc bởi những người dùng có thiết bị đã jailbreak và có khả năng sửa đổi thời gian chạy. Ông cảnh báo rằng sự kết hợp giữa việc truy cập dữ liệu rộng rãi và các biện pháp phòng thủ yếu có thể mở ra cánh cửa cho rò rỉ dữ liệu hoặc thay đổi hành vi nếu kẻ tấn công giành được chỗ đứng trong ngăn xếp truyền thông của thiết bị.

Các nhà nghiên cứu đã trích dẫn các bài đăng và phân tích từ bên ngoài để hỗ trợ phát hiện của họ. Ví dụ, một bài viết phân tích bảo mật chi tiết của Thereallo đề cập đến việc “giải mã” ứng dụng (decompilation) và chỉ ra các khả năng về đường dẫn đo từ xa (telemetry) và truy cập dữ liệu. Thêm bối cảnh đã được lan truyền xoay quanh các cuộc thảo luận đi kèm trên mạng xã hội, bao gồm các bài đăng xuất hiện trên X.

Khoảng trống chính sách và tác động rộng hơn đối với người dùng và thị trường

Trong các cộng đồng crypto và quyền riêng tư kỹ thuật số rộng hơn, sự việc này nhấn mạnh một chủ đề lặp lại: niềm tin mà người dùng đặt vào các công cụ số—dù đó là ứng dụng của chính phủ hay một giao diện ví crypto—phụ thuộc vào các thực hành dữ liệu rõ ràng, có thể kiểm toán, và các quyền tối thiểu, có lý do. Dù ứng dụng của Tòa Bạch Ốc không phải là sản phẩm crypto, tình huống này vẫn quan trọng đối với những nhà xây dựng và người dùng dựa vào các nền tảng công khai để lưu trữ tài sản (custody), xác minh danh tính và truyền thông kịp thời. Nó cho thấy các cân nhắc về quyền riêng tư theo thiết kế—đặc biệt liên quan đến dữ liệu vị trí và telemetry—ngày càng được đưa ra trung tâm đối với bất kỳ dịch vụ số nào chạm đến thông tin nhạy cảm.

Xét từ góc độ quản lý, sự khác biệt giữa những gì được nêu trong chính sách quyền riêng tư và những gì hiển thị trong các danh sách trên cửa hàng có thể trở thành mảnh đất màu mỡ cho việc bị soi xét. Google Play cho biết dữ liệu cá nhân có thể được thu thập trong quá trình tải xuống và sử dụng, trong khi App Store của Apple hướng người dùng đến chính sách quyền riêng tư của Tòa Bạch Ốc để biết thêm chi tiết. Việc không có các cảnh báo hiển thị rõ ràng về quyền truy cập vị trí trên các trang cửa hàng có thể được hiểu là một khoảng hở công bố thông tin, thúc đẩy các lời kêu gọi về việc xin đồng ý rõ ràng hơn và thông báo người dùng minh bạch hơn trong các ứng dụng của chính phủ và các triển khai vì lợi ích công tương tự.

Khi các nhà hoạch định chính sách và các nhà công nghệ đang tiêu hóa sự cố này, một số câu hỏi đang hiện hữu: Tại sao phải cần quyền truy cập vị trí cho một ứng dụng tin tức và cập nhật mà không có tính năng định vị (geolocation)? Liệu chính quyền có công bố một đánh giá bảo mật độc lập hoặc một cam kết rõ ràng về quyền riêng tư theo thiết kế không? Và những công bố này có thể ảnh hưởng như thế nào đến các dự án chính phủ số trong tương lai và việc áp dụng các công nghệ tăng cường quyền riêng tư ở những lĩnh vực nhạy cảm hơn?

Những người theo dõi ngành cũng có thể cân nhắc các tác động rộng hơn đối với thị trường. Sự việc này chạm tới một mâu thuẫn vang vọng trên toàn bộ hệ sinh thái crypto: nhu cầu về các cấu trúc bảo mật vững chắc và minh bạch trong bất kỳ nền tảng nào xử lý dữ liệu người dùng hoặc truyền thông. Với người dùng, thông điệp quan trọng là hãy theo dõi các công bố liên quan đến quyền truy cập và kỳ vọng có những giải thích rõ ràng hơn về lý do ứng dụng đang yêu cầu dữ liệu vị trí, đặc biệt đối với phần mềm do chính phủ vận hành vốn có mức độ hiển thị công khai cao.

Trong ngắn hạn, người quan sát nên theo dõi cách Tòa Bạch Ốc và các nhà thầu của mình phản hồi. Các làm rõ về sự cần thiết của quyền truy cập vị trí, bất kỳ cuộc kiểm tra bảo mật nào sắp tới và các khả năng chỉnh sửa trong các công bố về quyền riêng tư sẽ là những tín hiệu quan trọng về việc các cơ quan chức năng dự định coi trọng việc bảo vệ quyền riêng tư đến mức nào khi các dịch vụ kỹ thuật số công cộng mở rộng quy mô.

Đối với độc giả và các bên tham gia thị trường, sự việc này củng cố một thông điệp thực tiễn: các cam kết về quyền riêng tư và bảo mật trong công nghệ hướng công khai—dù cho ứng dụng của chính phủ hay dịch vụ crypto—chỉ đáng tin cậy ở mức độ minh bạch và trách nhiệm giải trình đi kèm. Việc tiếp tục giám sát và kiểm thử độc lập có khả năng sẽ định hình cách các ứng dụng đó phát triển và cách người dùng cân bằng giữa sự tiện lợi với an toàn dữ liệu trong một thế giới ngày càng số hóa.

Bài viết này ban đầu được đăng với tiêu đề White House app sparks privacy worries over location data for crypto trên Crypto Breaking News – your trusted source for crypto news, Bitcoin news, and blockchain updates.