Một giáo sư tuyên bố từ bỏ Chrome vì bản cập nhật số 69 xâm phạm quyền riêng tư của người dùng

Động thái liên kết đăng nhập của người dùng vào đăng nhập trên Chrome đã làm cộng đồng người dùng phẫn nộ, đặc biệt những nhà phát triển và những người quan tâm đến quyền riêng tư và bảo mật.

Với Matthew Green, nhà nghiên cứu mã hóa và là giáo sư tại Đại học John Hopkins, Chrome từng là một sự lựa chọn win-win cho cả công ty và người dùng khi mới ra mắt. Người dùng nhận được một trình duyệt sạch sẽ, thay thế cho Internet Explorer của Microsoft đang thống trị thị trường vào lúc đó.

Còn với Google, Chrome trở thành một chiếc phễu thu hút dữ liệu lướt web của người dùng cho Google và chuyển hóa thành doanh thu quảng cáo cho công ty. Nhưng giờ đây, ông đang muốn sớm từ bỏ Google, dưới đây là lời lý giải của ông cho quyết định này.

Những thay đổi mới

Một vài tuần trước Google đã bắt đầu triển khai bản cập nhật cho Chrome, có thể thay đổi cơ bản trải nghiệm đăng nhập của người dùng. Giờ đây, mỗi khi bạn đăng nhập vào một ứng dụng thuộc Google (ví dụ Gmail), Chrome sẽ tự động đăng nhập vào trình duyệt bằng tài khoản Google của bạn.

Nó làm điều này mà không cần hỏi, hay thậm chí thông báo cho bạn. (Tuy nhiên các nhà phát triển Google tuyên bố rằng trình duyệt này không thực sự đồng bộ dữ liệu của mình với Google – hay vẫn chưa làm vậy).

Cảnh báo duy nhất dành cho bạn có lẽ hình ảnh hồ sơ Google của bạn sẽ hiện ra ở góc phía trên bên phải cửa sổ trình duyệt – đó là nếu bạn có nhìn đến góc đó. Ngoài ra gần như thay đổi này không được ai chú ý cho đến nay. (trước đó mới chỉ có một vài thảo luận về nó trang những trang như Hacker News). Nhưng giờ đây dường như nó đã thu hút sự chú ý của khắp các mặt báo – bởi vì bản cập nhật có một ý nghĩa to lớn đối với Google và tương lai của Chrome.

Tại sao như vậy? Theo quan điểm của Green, điều này có liên quan đến 4 điểm cơ bản:

Không ai trong nhóm phát triển Chrome có thể đưa ra lý do rõ ràng vì sao thay đổi này lại cần thiết, và lời giải thích mà họ đưa ra chả có ý nghĩa gì cả.

Thay đổi này có ý nghĩa khổng lồ cho sự tin tưởng và quyền riêng tư của người dùng, và Google dường như không thể giành được hai điều này vì bản cập nhật đó.

Thay đổi này làm rối loạn chính sách về quyền riêng tư dành cho Chrome của Google.

Google cần dừng việc xem niềm tin của khách hàng như một tài nguyên có thể tái tạo, bởi vì họ đang làm nó sụt giảm đi nhiều.

1. Tuyên bố của Google về cơ bản là vô nghĩa

Tính năng mới gây tranh cãi này có tên gọi "Đồng nhất tính nhất quán giữa trình duyệt và cookies" (Identity consistency between browser and cookies jar). Theo lý giải từ hai nhà phát triển Chrome trên Twitter, khi hai người dùng chung máy tính, cookies của một người dùng có thể vô tình bị upload vào tài khoản của người dùng còn lại. Do đó tính năng này sẽ giúp hạn chế nhầm lẫn đó.

Nhưng đó cũng chính là vấn đề của tính năng này. Nếu việc người dùng đăng nhập vào Chrome trên máy dùng chung có thể là vấn đề, vậy tại sao phải ép người dùng đăng nhập vào trình duyệt? Sẽ chẳng có vấn đề gì nếu người dùng chọn không đăng nhập vào trình duyệt ngay từ đầu. Tại sao tính năng mới của Chrome còn ép buộc người dùng phải đăng nhập?

2. Thay đổi này có tác động nghiêm trọng đến niềm tin và quyền riêng tư

Nhưng nhóm phát triển Chrome đã đưa ra một tuyên bố bảo vệ thay đổi này. Họ chỉ ra rằng, việc đăng nhập vào trình duyệt không có nghĩa là nó sẽ tải lên dữ liệu cá nhân của bạn lên máy chủ Google.

"Trong khi Chrome giờ sẽ đăng nhập vào tài khoản Google của bạn mà không cần đến sự cho phép của bạn (dựa trên đăng nhập vào Gmail), Chrome sẽ không kích hoạt tính năng "đồng bộ" để gửi dữ liệu của bạn về Google. Điều đó đòi hỏi một bước đồng ý bổ sung. Vì vậy về lý thuyết, dữ liệu của bạn vẫn ở trên máy tính cá nhân."

Cho dù vậy, với Matthew Green, lời biện hộ này có nhiều điểm khá vô nghĩa và không đáng tin. Và ông có rất nhiều lý do cho nghi ngờ của mình:

Vấn đề sự đồng ý của người dùng: 10 năm từ khi ra mắt đến nay, mỗi khi trình duyệt Chrome được mở lên, nó luôn đi kèm với một câu hỏi: "Bạn có muốn đăng nhập với tài khoản Google của mình không?" Và giờ đây, họ "lén lút" làm điều đó mà không cần sự đồng ý từ người dùng.

Với điều đó, liệu lời hứa của nhóm phát triển của Chrome về việc không upload các dữ liệu cá nhân của người dùng lên Google khi họ đăng nhập Chrome có còn đáng tin nữa hay không?

Giao diện đồng bộ Chrome là một Dark Pattern (giao diện tối): giờ đây khi (buộc phải) đăng nhập Chrome, dưới đây sẽ là menu mà bạn nhìn thấy.

Nút bấm màu xanh da trời ở trên nghĩa là gì? Bạn đã đồng bộ dữ liệu của mình với Google ư? Hay đó là lời mời bạn đồng bộ? Vậy nếu bạn vô tình ấn vào đó thì sao? Tóm lại giờ đây, ranh giới giữa việc bạn có đồng ý upload dữ liệu cá nhân của mình lên Google hay không chỉ nằm trong một cú click đơn giản – đó chính là giao diện tối, thiết kế để thao túng hành động của người dùng theo ý muốn của công ty.

3. Thay đổi này làm rối loạn chính sách quyền riêng tư của Chrome

Trước đây, chính sách quyền riêng tư của Chrome khá đơn giản: khi ở chế độ trình duyệt cơ bản "không đăng nhập" dữ liệu của bạn được lưu trên máy tính người dùng, và khi ở chế độ đăng nhập, dữ liệu của bạn được gửi tới máy chủ Google. Rất dễ hiểu. Nếu bạn muốn quyền riêng tư, đừng đăng nhập.

Nhưng giờ đây, khi bạn buộc phải đăng nhập, chính sách này sẽ phải hiểu thế nào? Về cơ bản, nếu ở chế độ trình duyệt cơ bản, dữ liệu vẫn lưu ở máy tính người dùng, nhưng bạn không còn được quyết định chế độ đăng nhập trình duyệt hay không nữa. Và như đã nói ở trên, dữ liệu đó chỉ cách máy chủ Google một cú click được thiết kế có thể khiến người dùng rất dễ ấn nhầm vào bất kỳ lúc nào.

4. Niềm tin của người dùng không phải là tài nguyên có thể tái tạo

Đối với một công ty kiếm sống bằng việc thu thập dữ liệu người dùng, Google luôn tránh được các rắc rối tiêu cực liên quan đến nó. Không phải vì Google thu thập ít dữ liệu hơn, mà vì họ luôn cẩn trọng và chịu trách nhiệm với nó.

Trong khi Facebook thường có xu hướng thay đổi cài đặt quyền riêng tư của mình và sau đó xin lỗi, Google thường duy trì các chính sách bảo mật rõ ràng và ít thay đổi thường xuyên. Tuy nhiên, điều này dường như đang thay đổi.

Danh tiếng của Google rất khó kiếm được nhưng cũng dễ mất đi. Các thay đổi như trên là điều đốt cháy sự tin tưởng của người dùng nhanh nhất. Nếu thay đổi đó giải quyết được vấn đề nghiêm trọng của người dùng, sự mất mát niềm tin đó có thể xứng đáng, nhưng có vẻ không phải trường hợp này.

Kết luận

Có lẽ nhiều người cho rằng, bao lâu nay Google đã do thám người dùng thông qua cookies và mạng lưới quảng cáo cũng như các đối tác rộng khắp của họ, vậy điều đó có nghĩa gì khi họ lại muốn buộc bạn phải đăng nhập vào trình duyệt để theo dõi nữa?

Theo Matthew Green, việc ai đó đã đang vi phạm quyền riêng tư của bạn, không có nghĩa là họ được đẩy vi phạm đó lên một mức độ lớn đến mức khổng lồ như vậy. Google cũng vậy. Công ty đã chi ra hàng triệu USD để bổ sung các tính năng theo dõi cho cả Android và Chrome. Rõ ràng họ không làm điều đó cho vui: họ làm điều đó vì nó mang lại các dữ liệu mà họ muốn.

Tham khảo Blog Cryptographyengineering