Không Tin Tưởng VPN Mà Facebook Muốn Bạn Sử Dụng

Tuần này, các báo cáo cho biết Facebook đang thử nghiệm một mục menu mới, được gọi là "Bảo vệ," trong ứng dụng iOS của mình. Tính năng này có biểu tượng mũi tên màu xanh lam, và nhấn vào nó sẽ chuyển bạn đến trang liệt kê ứng dụng VPN Onavo Protect do Facebook sở hữu trên App Store. Nhưng trong khi Onavo thực sự tuyên bố cung cấp một số công cụ làm cho web an toàn hơn, thực tế nó không đạt được các bảo vệ quyền riêng tư mà người dùng VPN có thể hợp lý mong đợi.

Onavo chưa phải là mới; Facebook đã mua nó vào năm 2013, và từ năm 2016 đã thúc đẩy người dùng đến nó thông qua thông báo Bảo vệ trên Android. Giống như tất cả các VPN, đây là một nền tảng riêng tư hoạt động như một cổng để kết nối bạn với internet lớn hơn, đưa dữ liệu của bạn qua một con đường được mã hóa để giảm nguy cơ nghe trộm. VPN Android của Onavo ca ngợi loại bảo vệ dữ liệu này, nhưng cũng cung cấp cái mà nó gọi là một VPN thứ hai để theo dõi xem ứng dụng nào đang sử dụng nhiều dữ liệu nhất.

Phiên bản iOS của VPN tập trung hơn vào bảo vệ duyệt web, cảnh báo người dùng khi họ truy cập các trang web có thể độc hại và cung cấp các bảo vệ VPN tiêu chuẩn khác. Nhưng trên cả hai nền tảng, Onavo lan rộng hơn so với VPN tiêu chuẩn, và cố gắng hoạt động suốt thời gian thay vì chỉ khi bạn muốn một chút bảo vệ thêm. Điều này dường như là một cách cho ứng dụng, và theo mở rộng là Facebook, để theo dõi hoạt động duyệt web của bạn mọi lúc, không chỉ khi bạn đang trên mạng xã hội.

Tương tự, các tính năng cảnh báo sử dụng dữ liệu và trang web độc hại đều được xây dựng trên việc theo dõi và theo dõi dữ liệu một cách rộng lớn. "Onavo thu thập dữ liệu lưu lượng dữ liệu di động của bạn," đọc mô tả trên App Store. "Điều này giúp chúng tôi cải thiện và vận hành dịch vụ Onavo bằng cách phân tích cách bạn sử dụng các trang web, ứng dụng và dữ liệu. Bởi vì chúng tôi là phần của Facebook, chúng tôi cũng sử dụng thông tin này để cải thiện các sản phẩm và dịch vụ của Facebook, có cái nhìn sâu sắc vào những sản phẩm và dịch vụ mà mọi người đánh giá cao, và xây dựng những trải nghiệm tốt hơn." Nếu bạn đang tìm kiếm những lợi ích về quyền riêng tư từ một VPN, điều này không phải là điều bạn muốn nghe.

Tất cả các VPN, theo định nghĩa, đều có quyền truy cập vào tất cả dữ liệu duyệt web của bạn. Nhưng VPN ưu tiên quyền riêng tư, hứa hẹn với người dùng rằng họ sẽ không bao giờ đăng nhập hoặc lưu trữ bất kỳ thông tin duyệt web nào. Một số thậm chí đã chứng minh thực tế rằng họ xóa tất cả các nhật ký, sau khi các lệnh truy cứu thông tin trong quá trình điều tra của cơ quan chức năng không phát hiện ra điều gì.

Ngược lại, Onavo rõ ràng kiểm tra, phân tích và theo dõi dữ liệu người dùng theo thời gian, đưa nó trực tiếp đến Facebook. Dịch vụ cũng nói rằng nó có thể giữ lại dữ liệu người dùng trong thời gian họ có tài khoản và sau đó. Và Facebook sử dụng dữ liệu đó cho mục đích của mình; Wall Street Journal đưa tin vào tháng 8 rằng công ty đã sử dụng dữ liệu từ Onavo để theo dõi sự phổ biến của các startup cạnh tranh và sở thích của người dùng khác, và để đưa ra quyết định mua sắm.

"Đoán xem, nếu bạn không trả tiền cho sản phẩm, bạn và dữ liệu của bạn chính là sản phẩm," nói nhà nghiên cứu quyền riêng tư được biết đến với tên gọi Là người quản lý quyền riêng tư đó, người đã phân tích độ đáng tin cậy của VPN trong nhiều năm và duy trì một biểu đồ so sánh chi tiết về các dịch vụ. "Tôi đã đọc quá nhiều chính sách bảo mật của công ty VPN và tôi có thể nhận biết được những điều vô lý từ xa." Anh mô tả chính sách của Onavo là "rất khó hiểu."

Theo nhiều cách, Facebook ít nhất là minh bạch về mục tiêu thu thập dữ liệu của Onavo. Chính sách quyền riêng tư của VPN nói: "Chúng tôi có thể sử dụng thông tin chúng tôi nhận được để cung cấp, phân tích, cải thiện và phát triển các dịch vụ mới và sáng tạo cho người dùng, Cộng tác viên và bên thứ ba." Nó cũng dự trữ quyền sử dụng thông tin của khách hàng để "Tuân thủ các luật pháp áp dụng và hỗ trợ công an." VPN tập trung vào quyền riêng tư có thể tuân thủ các yêu cầu của cơ quan chức năng, nhưng nếu họ không giữ bản ghi, họ không thể làm điều đó một cách hữu ích.

Facebook khẳng định rằng việc theo dõi dữ liệu của nó cũng mang lại lợi ích cho người dùng. VPN Onavo "hoạt động như một kết nối an toàn để bảo vệ mọi người khỏi các trang web có thể gây hại," quản lý sản phẩm Erez Naveh nói. "Ứng dụng có thể thu thập lưu lượng dữ liệu di động của bạn để giúp chúng tôi nhận biết chiến thuật mà những người làm xấu sử dụng. Theo thời gian, điều này giúp công cụ hoạt động tốt hơn cho bạn và người khác. Chúng tôi thông báo cho mọi người về hoạt động này và những cách khác mà Onavo sử dụng và phân tích dữ liệu trước khi họ tải xuống nó."

Tuy nhiên, vấn đề là trong khi Facebook quảng bá Onavo đến cơ sở người dùng khổng lồ của mình như một công cụ bảo vệ, nó đặt nhiều ít chú ý đến các tính năng xâm phạm của dịch vụ. Và nhiều người dùng có lẽ sẽ không nhận ra rằng các VPN khác tiếp cận quyền riêng tư một cách khác, và cung cấp nhiều bảo vệ toàn diện hơn.

"Khác với các nhà cung cấp khác, Onavo Protect cố gắng giữ VPN kết nối luôn, và chuyển toàn bộ lưu lượng internet," nói Ankur Banerjee, một nhà nghiên cứu an ninh tập trung vào cơ sở hạ tầng số. "Ngay cả việc tắt VPN cũng được chôn sâu trong cài đặt ứng dụng thay vì đưa nó lên trang chủ của ứng dụng. Họ có thể giải thích điều này như là họ đang cố gắng bảo vệ khách hàng liên tục, nhưng điều rõ ràng họ có thể đang cố gắng làm ở đây là đảm bảo người dùng quên rằng Onavo thậm chí còn tồn tại." Càng lâu VPN hoạt động, nó càng có thể thu thập và phân tích dữ liệu người dùng.

Mặc dù ứng dụng Android của Facebook đã khuyến nghị sử dụng VPN Onavo từ một thời gian, việc bao gồm nó trong ứng dụng iOS tạo ra nhiều chú ý và gây phản đối từ cộng đồng kỹ thuật. "Tất nhiên Facebook sẽ cố gắng quảng cáo phần mềm gián điệp VPN của họ như một cách để 'bảo vệ' người dùng. Tồi tệ," David Heinemeier Hansson, người sáng tạo của framework phát triển web Ruby on Rails, viết trên Twitter vào ngày thứ Tư.

Ngay cả trong những cách nhỏ, Onavo có vẻ không ưu tiên bảo vệ quyền riêng tư của người dùng. Ví dụ, trang web của công ty hiện tại không có chứng chỉ SSL hoạt động, có nghĩa là không có mã hóa HTTPS cho người dùng duyệt trang web. "Tôi không hiểu làm thế nào một dịch vụ được đóng gói lại bởi một công ty công nghệ tỷ đô có thể bị bỏ qua như thế này," Người đó một người quản lý quyền riêng tư nói, nhận ra thiếu hụt chứng chỉ SSL của trang web. Nhưng sau đó, anh ấy thêm, "Tất nhiên, tôi đang nói đùa, Onavo rõ ràng không phải để thực hiện vai trò được nêu ra."

Facebook, VPNs, và VPNs của Facebook

• VPNs mang lại nhiều lợi ích, nhưng cũng có thể phức tạp. Đây là những gì bạn cần biết trước khi sử dụng một VPN
• VPN di động đặc biệt có nhiều hi sinh về an toàn và quyền riêng tư mà bạn có thể không thích
• Hai năm qua đã khá khó khăn với Facebook—và đây là câu chuyện bên trong về cách họ đã vượt qua nó