Cách đơn giản mà Apple và Google để kẻ nội xâm theo dõi nạn nhân

Một sáng vài tuần trước, tôi đưa iPhone của mình cho vợ và yêu cầu cô ấy giúp đỡ trong một thử nghiệm về quyền riêng tư. Cô ấy sẽ sử dụng điện thoại của tôi để theo dõi vị trí của tôi trong vài ngày tới, chỉ với phần mềm đã được cài đặt sẵn. Giống như rất nhiều cặp đôi khác, vợ chồng tôi biết mã PIN điện thoại của nhau. Vì vậy, khi tôi để lại điện thoại cho cô ấy và bước vào phòng tắm để tắm, tôi giả mạo một cơ hội mà tôi nghĩ rằng sẽ xuất hiện hàng ngày đối với những người vợ tò mò.

Tôi vừa bật nước lên thì cô ấy đã đưa điện thoại lại cho tôi. Chưa đầy vài giây đã trôi qua, và cô ấy đã cấu hình nó để theo dõi vị trí của tôi, không có thông báo rằng giờ đây điện thoại đang thông báo mọi di chuyển của tôi.

Tôi đã bắt đầu thực hiện thử nghiệm kỳ lạ này với sự chấp thuận của một nhóm nghiên cứu tập trung vào vấn đề 'stalkerware,' một loại phần mềm gián điệp được phân biệt bởi việc thường được cài đặt trên thiết bị mục tiêu bởi ai đó vừa có quyền truy cập vật lý vào điện thoại và mối quan hệ thân mật với chủ sở hữu của nó. Thường được quảng cáo một cách rõ ràng như một cách để bắt gặp chồng hoặc vợ ngoại tình, những chương trình này đã trở thành công cụ của kẻ nội xâm và người yêu cũ tức giận - một loại hacker thường không có kỹ năng kỹ thuật mà lại có nhiều cơ hội can thiệp trực tiếp vào điện thoại của nạn nhân. Kẻ gây án có thể cài đặt những ứng dụng này, cũng đôi khi được biết đến như spouseware, để giám sát nơi mà mục tiêu di chuyển đến, họ liên lạc với ai, họ nói gì và gần như mọi phần khác của cuộc sống mà điện thoại chạm vào.

Sau nhiều năm bị bỏ quên, ngành công nghiệp phần mềm diệt virus cuối cùng cũng đã bắt đầu nhận ra nguy hiểm của phần mềm giám sát và đánh dấu các ứng dụng này là độc hại, một sự phát triển mà đã lâu rồi mới có, bởi một phần tử tỷ phụ nữ ở Mỹ và một phần chín nam giới trải qua một loại hình lạm dụng vật lý hoặc theo dõi từ đối tác thân mật.

Các nhà nghiên cứu đã ghi nhận sự phổ biến của những ứng dụng theo dõi đó trong một nghiên cứu vào năm ngoái, dựa trên một phần công việc giúp đỡ nạn nhân bị lạm dụng trong kết hợp với Văn phòng Thị trưởng Thành phố New York để chấm dứt Bạo lực gia đình và Dựa trên Giới. "Khi chúng tôi ở hiện trường và xem xét những trường hợp này, đó là nhiều những gì chúng tôi thấy," nhà nghiên cứu của Cornell, Diane Freed, nói.

Các nhà nghiên cứu đã ghi nhận sự phổ biến của những ứng dụng theo dõi đó trong một nghiên cứu vào năm ngoái, dựa trên một phần công việc giúp đỡ nạn nhân bị lạm dụng trong kết hợp với Văn phòng Thị trưởng Thành phố New York để chấm dứt Bạo lực gia đình và Dựa trên Giới. "Khi chúng tôi ở hiện trường và xem xét những trường hợp này, đó là nhiều những gì chúng tôi thấy," nhà nghiên cứu của Cornell, Diane Freed, nói.

Chỉ cần vài giây để tiếp cận vật lý điện thoại, ngay cả các ứng dụng phổ biến như Google Maps và Find My Friends của Apple cũng có thể được điều chỉnh để liên tục chia sẻ vị trí của người dùng với một người liên hệ khác mà không thông báo hoặc cảnh báo cho chủ sở hữu điện thoại, các nhà nghiên cứu cho biết. "Không phải việc có một ứng dụng nào đó trên thiết bị của bạn làm bạn bối rối, mà là nó có thể được cấu hình theo cách mà bạn không biết và không đồng ý," Sam Havron, một nhà nghiên cứu Cornell khác, nói.

Một Cuộc Thử Nghiệm

Đúng như với ý tưởng đó, vào sáng hôm đó, tôi đã đưa chiếc iPhone của mình cho vợ mình, và lại mỗi sáng trong vài ngày tiếp theo. Mà không cho tôi biết những gì cô ấy đang làm, cô ấy sẽ thay đổi một số cấu hình trên các ứng dụng phổ biến mà tôi đã cài đặt trên điện thoại và trả lại cho tôi. Sau đó, tôi sẽ tiếp tục cuộc sống của mình và theo dõi điện thoại để xem có dấu hiệu nào cho thấy tôi đang bị theo dõi không.

Trước khi viết về điều này, tôi đã tham khảo ý kiến của các nhà nghiên cứu cùng NYU và Cornell Tech để hỏi xem họ nghĩ liệu việc chia sẻ kết quả này có đạo đức hay không, hoặc liệu tôi có giúp kẻ ngược đãi nhiều hơn là nạn nhân. Họ thảo luận và bảo tôi tiến lên, lưu ý rằng các hướng dẫn cho kẻ ngược đãi muốn theo dõi điện thoại của đối tác một cách bí mật đã quá dễ dàng để tìm thấy trên internet. "Kết luận của chúng tôi là lợi ích vượt trội hơn nhược điểm," Havron viết trong một email.

Vì vậy, tôi tiến hành với cuộc thử nghiệm của mình. Đây là những gì tôi tìm thấy.

Ngày Một, Glympse: Sau khi vợ tôi trả lại điện thoại và tôi rời nhà đi làm ngày đầu tiên, tôi rút điện thoại ra trong tàu điện ngầm để gửi cho cô ấy một số hình ảnh về đứa con nhỏ của chúng tôi. Ngay lập tức, tôi nhận thấy rằng cô ấy đã gửi cho mình một tin nhắn văn bản từ điện thoại của tôi với nội dung "Đây là một Glympse về vị trí của tôi," kèm theo một liên kết đến Glympse.com. Việc gửi liên kết này qua tin nhắn là phương pháp mặc định để chia sẻ vị trí của bạn với ứng dụng Glympse, một ứng dụng chia sẻ vị trí phổ biến mà tôi đã cài đặt trên điện thoại của mình (mặc dù tôi hiếm khi sử dụng nó kể từ khi Google Maps cung cấp tính năng tương tự). Vợ tôi có thể dễ dàng xóa tin nhắn này, nhưng tôi nghĩ rằng cô ấy vẫn đang tiếp tục thử nghiệm. Tôi vẫn để ứng dụng chạy, nhưng nó tiêu tốn rất nhiều năng lượng, đến chiều cùng ngày, nó gửi cho tôi một thông báo cho biết nó sẽ tự tắt để bảo tồn 20% pin còn lại của tôi.

Trong khi đó, vợ tôi phát hiện ra rằng việc theo dõi vị trí của Glympse có độ phân giải thấp đến mức chỉ hiển thị rằng tôi ở nhà và sau đó ở văn phòng, trước khi làm hết pin và tự tắt. Ngay cả khi pin không phải là vấn đề, cô ấy sẽ phải truy cập lại điện thoại của tôi và kích hoạt chia sẻ vị trí sau 12 giờ, là thời gian tối đa mà Glympse cho phép.

Ngày Hai, Google Maps: Sau cùng một buổi sáng bắt đầu giống như trước, tôi lên xe đạp và đi đến một hội nghị hacker cách vài khu vực trong Brooklyn. Khi tôi đang đi, vợ tôi liên tục gửi cho tôi các tin nhắn văn bản đoán địa điểm mà tôi đang đến, cho đến khi cô ấy đoán ra rằng đó là hội nghị - mặc dù tôi không nhắc đến nó. Chỉ vào buổi tối đó, khi tôi đưa con đi chơi công viên và điện thoại của tôi đang mất pin, tôi điều chỉnh qua các cài đặt ứng dụng khác nhau để bảo tồn pin còn lại của mình và phát hiện ra rằng cô ấy đã bật chia sẻ vị trí trên Google Maps. Cả ngày đó, tôi không thấy bất kỳ dấu hiệu nào khác cho thấy chia sẻ vị trí đã được bật trong bất kỳ ứng dụng nào khác.

Ngày Ba và Bốn, Apple Find My Friends: Việc theo dõi của vợ tôi tiếp tục, nhưng giờ đây không có bất kỳ sự tiêu tốn pin đáng kể nào hoặc bất kỳ gợi ý nào khác về sự phản bội của điện thoại của tôi. Tôi không rời khỏi căn hộ của mình trong cả ngày thứ ba, có lẽ là một lời buộc tội về mức độ hấp dẫn cuộc sống của tôi. Nhưng vào buổi sáng của ngày thứ tư, vợ tôi theo dõi tôi khi đi vào Manhattan trên tàu điện ngầm để tham dự một cuộc họp kéo dài hai giờ tại trường báo chí của NYU - "hoặc có lẽ đang có chuyện tình!" như cô ấy miêu tả sau đó, một chút hớn hở quá đà. Tôi đoán đúng bằng quá trình loại trừ và sau đó xác nhận bằng cách nhìn vào cài đặt điện thoại của tôi rằng cô ấy đã bật chia sẻ vị trí thông qua ứng dụng Find My Friends của Apple, một công cụ được bao gồm mặc định trong iOS để chia sẻ vị trí của bạn với bạn bè và gia đình. Find My Friends dường như không cung cấp cho tôi bất kỳ cảnh báo nào rằng cài đặt của nó đã được thay đổi để phát tín hiệu vị trí của tôi cho cô ấy theo dõi theo thời gian thực.

Các Biện Pháp An Toàn Yếu Kém

Tất nhiên, việc phát hiện ra ai đó đang theo dõi bạn thông qua một trong những ứng dụng này đơn giản nếu bạn đủ nghi ngờ để kiểm tra từ đầu. Nhưng nếu tôi không tham gia vào một cuộc thử nghiệm một cách có ý thức, tôi có thể dễ dàng đi qua tuần hoặc thậm chí là nhiều tháng mà không bao giờ nghĩ đến việc xem cài đặt chia sẻ vị trí trong Google Maps hoặc Find My Friends. (Xem phần dưới cùng của câu chuyện này để biết mẹo về cách kiểm tra cài đặt này một cách tự mình.)

Sau khi cuộc thử nghiệm của tôi kết thúc, tôi liên hệ với Glympse, Apple và Google. Một người phát ngôn của Glympse nhấn mạnh rằng nếu thông báo được bật cho Glympse - tôi có chúng bị tắt, có vẻ như vậy - nó sẽ hiển thị một biểu tượng "G" nhỏ ở đầu màn hình người dùng. Nếu thông báo không được bật, nó vẫn sẽ hiển thị một mũi tên nhỏ ở đầu màn hình để chỉ ra rằng dịch vụ vị trí đang được truy cập, mặc dù mũi tên đó sẽ hiển thị bất kỳ khi nào dịch vụ vị trí đang hoạt động.² Về phần Apple và Google, mỗi công ty đã cho biết về các biện pháp họ đã thực hiện để cảnh báo người chia sẻ vị trí một cách không hay biết. Google viết trong một tuyên bố rằng họ đã tư vấn với nhóm chống bạo lực gia đình Community Overcoming Relationship Abuse về cách xử lý chia sẻ vị trí. Kết quả là, họ bắt đầu gửi cho người dùng các thông báo qua email không thể hủy đăng ký, được gửi ở các khoảng thời gian không đều để ngăn chặn kẻ ngược đãi có thể có điện thoại trong tay. Những thông báo đó, Google nói, bắt đầu 24 giờ sau khi chia sẻ vị trí của họ được bật, và tiếp tục "thường xuyên sau đó" - tuy nhiên, rõ ràng không thường xuyên đủ để tôi có thể thấy những thông báo đó trong ngày mà vợ tôi đã sử dụng Google Maps để theo dõi tôi.¹

Trong khi đó, Apple giải thích rằng khi một liên hệ mới được thêm vào Find My Friends, người chia sẻ vị trí sẽ nhận được một thông báo trong lịch sử Tin nhắn của họ với liên hệ đó mà không thể xóa. Nhưng trong trường hợp của vợ tôi, tôi đã thêm cô ấy vào danh bạ trong Find My Friends tại một thời điểm trong quá khứ, nhưng sau đó tôi đã tắt hoàn toàn việc chia sẻ vị trí trong ứng dụng, vì điều này dường như là công tắc bật/tắt đơn giản nhất. Khi vợ tôi bật lại công tắc đó trong thời gian thử nghiệm, nó không tạo ra thông báo, cho phép cô ấy bắt đầu theo dõi một lần nữa mà không có bất kỳ cảnh báo nào.

Điều tồi tệ hơn, khi đồng nghiệp của tôi Lily Hay Newman và tôi bắt đầu kiểm tra các thông báo của Apple bằng cách thêm và xóa nhau từ Find My Friends, chúng tôi phát hiện một phương pháp dường như cho phép bất kỳ ai cũng có thể thêm họ vào danh bạ của Find My Friends mà không có bất kỳ thông báo nào đến chủ sở hữu điện thoại, vượt qua biện pháp bảo vệ của Apple. Tôi sẽ không tiết lộ chi tiết ở đây để tránh làm cho việc theo dõi bí mật hơn. Apple đã xác nhận với tôi rằng họ nhận thức được vấn đề nhưng không thừa nhận rằng nó đại diện cho một vấn đề và không trả lời câu hỏi của tôi về việc họ có ý định sửa chữa nó như thế nào.

Apple cũng cho biết rằng trong phiên bản mới của Find My Friends trong iOS 13, mà giờ đây sẽ được biết đến với tên gọi là Find My, ứng dụng sẽ cung cấp một tính năng an toàn hơn: Khi người dùng thiết lập một "khu vực an toàn" - một tùy chọn gửi thông báo khi một người họ đang theo dõi đi vào hoặc rời khỏi một nơi cụ thể - người chia sẻ vị trí sẽ nhận được cùng một thông báo không thể xóa trong Tin nhắn. Nếu không, công ty cho biết, các biện pháp an toàn của ứng dụng chia sẻ vị trí mới sẽ hoạt động tương tự như ứng dụng cũ.

Mô Hình Đe Dọa Nằm Bên Trong Nhà

Khi tôi thông báo với các nhà nghiên cứu của Cornell Tech và NYU về kết quả của các bài kiểm tra của tôi và phản ứng từ các công ty, họ lý luận rằng không ai trong số họ đã xem xét đủ mức cách đơn giản này để lạm dụng ứng dụng của họ. "Đúng, các công ty đang bắt đầu nghĩ về vấn đề này, nhưng đây là vấn đề phức tạp và có những trường hợp biên," Damon McCoy, nhà nghiên cứu của NYU cho biết, lập luận rằng các giải pháp "băng dính" hiện tại của các công ty không đủ. "Họ đã xây dựng sản phẩm không chống chọi được với loại tấn công này."

Các nhà nghiên cứu chỉ ra rằng Glympse, Google và Apple đều có thể làm nhiều hơn để thông báo hoặc nhắc nhở người dùng rằng họ đang chia sẻ vị trí của mình. Một thông báo đẩy ngay lập tức hoặc email cảnh báo người dùng rằng vị trí của họ đang được chia sẻ có thể vô ích, vì kẻ ngược đãi vẫn còn quyền truy cập vào thiết bị và có thể nhanh chóng xóa nó. Nhưng nếu cảnh báo đó đến vài giờ sau — vẫn sớm hơn so với Google gửi — và sau đó được lặp lại định kỳ với một tần suất nhất định, nó có thể hiệu quả hơn rất nhiều. "Bạn muốn cảnh báo đến sau một khoảng thời gian sau cửa sổ cơ hội của kẻ ngược đãi," Havron của Cornell nói.

Tuy nhiên, các nhà nghiên cứu khẳng định rằng vấn đề của việc có người có quyền truy cập vật lý vào một thiết bị để lạm dụng phần mềm hợp lệ vượt xa bất kỳ công ty nào, hoặc thậm chí chỉ là việc chia sẻ vị trí. Họ lập luận rằng các công ty công nghệ cần xem xét rằng mối đe dọa tới sự riêng tư lớn nhất của người dùng có thể có quyền truy cập vào điện thoại trong một số trường hợp, có thể biết mã PIN của nó, thậm chí có thể ngủ trên phía bên kia của giường — và các công ty nên thiết kế hệ thống của họ phù hợp.

"Mô hình đe dọa truyền thống là nguy hiểm từ người lạ. Loại tấn công này chưa từng nằm trong tầm radar của họ," McCoy nói. "Điều này không chỉ là vấn đề của Google hoặc của Apple. Điều này là bất lợi cho bảo mật máy tính nói chung."

Cách Kiểm Tra Chia Sẻ Vị Trí Trong Các Ứng Dụng Phổ Biến

• Trong Find My Friends: Mở ứng dụng. Nhấn Tôi và tắt Chia Sẻ Vị Trí Của Tôi hoặc trượt sang trái trên tên của một người để xóa họ.
• Trong Google Maps: Khi bạn ở trong ứng dụng, nhấn biểu tượng menu, sau đó chọn Chia Sẻ Vị Trí, chọn liên hệ mà bạn đang chia sẻ vị trí của bạn và tắt Chia Sẻ Vị Trí Của Bạn.
• Trong Glympse: Khi bạn ở trong ứng dụng, nhấn biểu tượng tam giác ở góc trên bên phải màn hình và sau đó chọn Dừng Chia Sẻ.

Cần giúp đỡ? Bạn có thể gọi Đường dây nóng Quốc gia về Bạo lực Gia đình tại số 1-800-799-7233, hoặc truy cập trang web của họ tại thehotline.org.

¹Cập nhật ngày 2/7/2019 4:30 chiều giờ Mỹ Est để làm rõ các yếu tố về cách Google thông báo cho người dùng khi vị trí của họ đang được chia sẻ trong Google Maps.²Sửa lỗi ngày 29/7/2019 3:30 chiều giờ Mỹ Est để ghi chú rằng Glympse thực sự đã phản hồi lại yêu cầu nhận xét và để bao gồm tính năng của nó để chỉ ra rằng vị trí của người dùng đang được chia sẻ nếu thông báo được kích hoạt.

Những Bài Viết Tuyệt Vời Hơn từ MYTOUR

• Instagram ngọt ngào và hơi nhàm chán - nhưng quảng cáo!
• Thay đổi cuộc sống của bạn: sử dụng bồn cầu xịt
• Jigsaw mua chiến dịch troll Nga như một cuộc thử nghiệm
• Tất cả mọi thứ bạn muốn - và cần - biết về người ngoài hành tinh
• Một cuộc di chuyển rất nhanh qua các đồi trong chiếc Porsche 911 hybrid
• 💻 Nâng cấp trò chơi làm việc của bạn với những chiếc laptop, bàn phím, phương pháp thay thế gõ, và tai nghe chống ồn yêu thích của đội ngũ Gear của chúng tôi
• 📩 Muốn thêm? Đăng ký nhận bản tin hàng ngày của chúng tôi và không bao giờ bỏ lỡ những câu chuyện tuyệt vời nhất và mới nhất của chúng tôi