Trình duyệt có thể thu tín hiệu siêu âm ảnh hưởng đến quyền riêng tư người dùng
Con người thường có thể nghe được tần số âm thanh từ 20 Hz đến 20.000 Hz, mặc dù ngưỡng nghe của từng người sẽ có chút khác biệt. Tần số âm thanh dưới và trên ngưỡng nghe của con người được gọi là hạ âm và siêu âm.
Một vài năm trước đây, các công ty quảng cáo kỹ thuật số đã bắt đầu sử dụng tín hiệu siêu âm để theo dõi sở thích của người dùng trên các thiết bị. Ví dụ, nếu quảng cáo trên TV lén phát ra tín hiệu với tần số mà con người không nghe thấy, thì một điện thoại thông minh gần đó có thể nhận ra và chuyển đến một ứng dụng, cập nhật hồ sơ quảng cáo của chủ sở hữu thiết bị với các chi tiết về những gì họ đã xem và vào thời điểm nào. Khi đó, các công ty sẽ thu thập được thông tin khi một người xem chương trình nấu ăn trên TV, tin tức, thể loại phim yêu thích...
Năm 2017, Ủy ban Thương mại của Mỹ (FTC) đã công bố nghiên cứu xác định 234 ứng dụng Android nghe lén các tín hiệu siêu âm. Hành động này nhằm ngăn chặn việc theo dõi người dùng dựa vào âm thanh không nghe thấy.
Một số công ty bị cảnh báo về các hoạt động xâm phạm quyền riêng tư này như công ty quảng cáo SilverPush (Ấn Độ) đã chuyển sang các loại dịch vụ khác. Nhưng khả năng tạo mã liên lạc âm thầm với các thiết bị di động thông qua âm thanh không nghe thấy vẫn là một mối đe dọa mất an toàn thông tin, cả trên ứng dụng gốc của điện thoại di động và ứng dụng web. Các nhà nghiên cứu bảo mật tiếp tục cố gắng tìm ra những cách thức mới để sử dụng âm thanh không nghe được nhằm trích xuất dữ liệu. Thực tế, tín hiệu siêu âm vẫn được sử dụng cho các hoạt động hợp pháp, ví dụ ứng dụng Cast của Google sử dụng mã thông báo siêu âm khi ghép nối với Chromecast gần đó.
Samuel Weiler - kỹ sư bảo mật web của Phòng thí nghiệm khoa học máy tính và trí tuệ nhân tạo của Viện Công nghệ Massachusetts và là thành viên của Nhóm lợi ích bảo mật của W3C, đã thúc đẩy việc thảo luận lại về giới hạn API Web Audio để không thể sử dụng nó cho mục đích tạo hoặc nghe tín hiệu siêu âm khi chưa được người dùng cho phép.
Weiler gợi ý rằng, người dùng cần được hỏi rõ ràng về việc cho phép sử dụng API Web Audio để xử lý âm thanh không thể nghe được. Ông lo ngại việc truyền âm thanh không nghe được có thể được sử dụng để "lấy cắp dấu vân tay” thiết bị, để xác định khi hai thiết bị khác nhau ở gần nhau và xâm phạm ranh giới phạm vi giúp ngăn các ứng dụng khác nhau trên cùng một thiết bị bí mật trao đổi thông tin với nhau.
Ông cũng đặt câu hỏi về những âm thanh được che giấu trong phổ âm thanh có thể nghe được liệu có bị lạm dụng để liên lạc bí mật hay không, mặc dù đó là một thách thức kỹ thuật riêng.
Weiler đã nêu ra chủ đề này vào trung tuần tháng 4/2020, một phần trong một cuộc tranh luận lớn hơn về việc giảm bề mặt “lấy dấu vân tay” của API Web Audio. Tuy nhiên, chủ đề thảo luận này đã được đóng lại bởi Raymond Toy - một kỹ sư phần mềm của Google và là đồng chủ tịch Audio Working Group của W3C.
Toy lập luận rằng, nếu nhà phát triển đã được phép lấy các mẫu âm thanh cụ thể, thì không cần phải có sự cho phép bổ sung nào. Dù sao cũng chỉ có một số ít người dùng muốn hỏi thêm về việc cấp quyền. Các nhà phát triển web khác tham gia vào cuộc tranh luận cũng bày tỏ lo ngại rằng, việc giới hạn các dải tần số khả dụng có thể dẫn đến sự dịch pha hoặc độ trễ, trong khi không có ngưỡng dưới hoặc trên phù hợp cho tất cả mọi người.
Peter E. Snyder - nhà nghiên cứu quyền riêng tư tại công ty phần mềm Brave (Mỹ) và là đồng chủ tịch của PING cho biết, ông chia sẻ mối quan ngại của Weiler về việc xâm phạm quyền riêng tư của âm thanh không nghe được.
"Về Web Audio và âm thanh siêu âm, chúng tôi lo ngại rằng những âm thanh vượt quá nhận thức của con người có thể được sử dụng cho nhiều mục đích vi phạm quyền riêng tư. Các công ty như SilverPush đã thương mại hóa các kỹ thuật như vậy và các công ty khác đã ghi nhận việc lạm dụng chúng trong thực tế", Snyder cho biết.
"Các kỹ thuật như vậy cũng có thể được sử dụng để thực hiện theo dõi xuyên tên miền. Các trang web có thể phát ra âm thanh siêu âm mà các trang đang mở khác có thể nghe, cho phép theo dõi chéo trang mà trình duyệt Brave (và các trình duyệt ưu tiên quyền riêng tư khác) đang cố gắng ngăn chặn để bảo vệ người dùng".
Ngoài ra, trình duyệt Brave mới bổ sung một số lượng nhỏ các hàm ngẫu nhiên vào các API Web Audio khác nhau để giảm khả năng “lấy dấu vân tay” của trình duyệt. Cho dù Audio Working Group có quyết định xem xét lại quyền cho phép âm thanh dựa trên tần số hay không, thì những người liên quan vẫn có đầy đủ khả năng xử lý tất cả các lo lắng về quyền riêng tư khác trên trình duyệt .
Nguyễn Anh Tuấn
(Theo The Register)