Từ năm 2016, Anh Quốc đã bắt đầu áp dụng đạo luật Investigatory Powers Act, mở rộng khả năng theo dõi thiết bị công nghệ của cảnh sát và các cơ quan phản gián, an ninh nội địa của đất nước này, cũng như có cả những điều khoản liên quan tới việc giới hạn sức mạnh của các cơ quan, tổ chức theo dõi thiết bị vì mục đích an ninh, nhằm bảo vệ quyền riêng tư của mọi người. Gần đây đã có những đề xuất sửa lại đạo luật IPA này, và nếu chúng được thông qua, sẽ có những thay đổi rất lớn đối với cách những chiếc điện thoại cập nhật bảo mật.
Ngay ở thời điểm hiện tại, những cơ quan an ninh thuộc chính phủ Anh Quốc đã thừa đủ khả năng can thiệp vào những ứng dụng và dịch vụ trực tuyến, được quyền yêu cầu “gỡ bỏ những tính năng bảo vệ thiết bị điện tử” như mã hóa hai chiều trong vài ứng dụng nhắn tin phổ biến.
Trang Just Security tổng hợp những thay đổi đối với đạo luật IPA đang được đề xuất. Trong bài viết này, tác giả Ioannis Kouvakas, cố vấn pháp lý và giám đốc pháp lý cấp cao của tổ chức Privacy International cho rằng, những đề xuất thay đổi mà các nhà lập pháp Anh Quốc đưa ra đối với đạo luật an ninh IPA có thể sẽ gây ra những hành vi vi phạm luật và công ước quốc tế.
Cụ thể hơn, điều 4 của dự thảo luật IPA sửa đổi tạo ra một lớp quy định mới, thêm yêu cầu đối với các công ty, phải thông báo cho chính phủ Anh trước khi đưa ra bất kỳ cập nhật và thay đổi về hệ thống cho các thiết bị công nghệ như điện thoại, máy tính bảng hay laptop. Một đoạn rất quan trọng: Dự thảo không đề cập và mô tả cụ thể những dạng phần mềm cập nhật nào buộc các nhà sản xuất thiết bị công nghệ phải thông báo trước cho chính phủ Anh. Nhưng hoàn toàn có khả năng, sẽ có những cập nhật bảo mật can thiệp và ngăn chặn khả năng theo dõi và thu thập dữ liệu người dùng của các cơ quan an ninh Anh Quốc, vậy nên trước khi cập nhật phải thông báo cho cơ quan thuộc chính phủ.
Lấy ví dụ iPhone chẳng hạn. Nếu dự thảo nói trên được thông qua, cứ mỗi lần có cập nhật iOS mới hay hotfix để tăng cường bảo mật, Apple sẽ phải thông báo trước cho cơ quan quản lý của Anh Quốc. Hoàn toàn có khả năng những cập nhật này sẽ bị chặn nếu chúng vá những lỗ hổng bảo mật, nền tảng để vận hành các giải pháp theo dõi cũng như thu thập dữ liệu của các cơ quan an ninh.
Ngay ở thời điểm hiện tại, những cơ quan an ninh thuộc chính phủ Anh Quốc đã thừa đủ khả năng can thiệp vào những ứng dụng và dịch vụ trực tuyến, được quyền yêu cầu “gỡ bỏ những tính năng bảo vệ thiết bị điện tử” như mã hóa hai chiều trong vài ứng dụng nhắn tin phổ biến.
Trang Just Security tổng hợp những thay đổi đối với đạo luật IPA đang được đề xuất. Trong bài viết này, tác giả Ioannis Kouvakas, cố vấn pháp lý và giám đốc pháp lý cấp cao của tổ chức Privacy International cho rằng, những đề xuất thay đổi mà các nhà lập pháp Anh Quốc đưa ra đối với đạo luật an ninh IPA có thể sẽ gây ra những hành vi vi phạm luật và công ước quốc tế.
Cụ thể hơn, điều 4 của dự thảo luật IPA sửa đổi tạo ra một lớp quy định mới, thêm yêu cầu đối với các công ty, phải thông báo cho chính phủ Anh trước khi đưa ra bất kỳ cập nhật và thay đổi về hệ thống cho các thiết bị công nghệ như điện thoại, máy tính bảng hay laptop. Một đoạn rất quan trọng: Dự thảo không đề cập và mô tả cụ thể những dạng phần mềm cập nhật nào buộc các nhà sản xuất thiết bị công nghệ phải thông báo trước cho chính phủ Anh. Nhưng hoàn toàn có khả năng, sẽ có những cập nhật bảo mật can thiệp và ngăn chặn khả năng theo dõi và thu thập dữ liệu người dùng của các cơ quan an ninh Anh Quốc, vậy nên trước khi cập nhật phải thông báo cho cơ quan thuộc chính phủ.
Lấy ví dụ iPhone chẳng hạn. Nếu dự thảo nói trên được thông qua, cứ mỗi lần có cập nhật iOS mới hay hotfix để tăng cường bảo mật, Apple sẽ phải thông báo trước cho cơ quan quản lý của Anh Quốc. Hoàn toàn có khả năng những cập nhật này sẽ bị chặn nếu chúng vá những lỗ hổng bảo mật, nền tảng để vận hành các giải pháp theo dõi cũng như thu thập dữ liệu của các cơ quan an ninh.
Điều này lại đặc biệt đúng khi đọc đến đoạn “các nhà sản xuất thiết bị có thể sẽ phải thông báo cho chính phủ trước khi tung ra những bản cập nhật bảo mật quan trọng, vá những lỗ hổng đã biết và giúp thiết bị an toàn hơn.” Thêm nữa, Kouvakas cho rằng, “bộ trưởng nội vụ, sau khi nhận được thông báo kể trên, hoàn toàn có thể yêu cầu các đơn vị và tập đoàn hoãn và hủy việc cập nhật vá lỗ hổng bảo mật, để cho phép các cơ quan chính phủ tiếp tục được tiếp cận những lỗ hổng kể trên, phục vụ cho mục đích theo dõi và thu thập thông tin.”
Thực tế thì không hề thiếu những phần mềm gián điệp lợi dụng những lỗ hổng bảo mật của các thiết bị di động để theo dõi và thu thập dữ liệu. Khét tiếng nhất có lẽ chính là Pegasus của NSO Group, Israel. Kể cả là một thiết bị được Apple tự hào quảng cáo là vô cùng bảo mật như iPhone, Pegasus vẫn có thể cài đặt theo kiểu zero-click, tức là chỉ cần một file mã độc gửi qua WhatsApp, người dùng điện thoại thậm chí còn chẳng cần ấn tải về và mở file đính kèm, chỉ cần nhìn vào cái tin nhắn là đã đủ để Pegasus tự động cài đặt và chạy ngầm bên trong thiết bị rồi.
Pegasus: Vì sao bảo mật kiểu "khu vườn kín" của iOS chẳng là gì so với trình độ hacker Israel?
Đến giờ anh em cũng chẳng còn lạ gì cái tên Pegasus nữa. Nó là tên của một nhóm những công cụ theo dõi của NSO Group, đơn vị phát triển đến từ Israel với những hacker kiếm tiền từ việc bán công cụ này cho các cơ quan phản gián…
tinhte.vn
Một giải pháp tương tự, cũng được một số cơ quan an ninh vài quốc gia sử dụng là phần mềm gián điệp của RCS Lab đến từ Italy. Nó không được tiết lộ tên chính thức, các nhà nghiên cứu bảo mật đặt cho nó cái tên Hermit.
Về phần Apple, khá chắc họ sẽ làm mọi cách để chống lại việc dự thảo sửa đổi bộ luật IPA được thông qua.
Theo iMore
