J2 Team chính thức lên tiếng về vụ Cốc Cốc

Mới đây, một thành viên trong J2 Team là M.T đã có bài phân tích rất kỹ về lí do trình duyệt Cốc Cốc bị ăn gạch và tẩy chay rất nhiều.

Mới đây, một thành viên trong J2 Team là M.T đã có bài phân tích rất kỹ về lí do trình duyệt Cốc Cốc bị ăn gạch và tẩy chay rất nhiều. Dù đã phủ nhận việc Cốc Cốc ăn cắp thông tin người dùng nhưng những ngày qua cộng đồng người dùng internet vẫn đang kêu gọi tẩy chay trình duyệt này rất nhiều. Và có rất nhiều câu hỏi được đặt ra cho nhóm J2 Team, một nhóm chuyên phát triển extension và làm về bảo mật.

Rủng Rỉnh là gì ?

Extension Rủng Rỉnh là một phần mở rộng trên trình duyệt Cốc Cốc cũng như 2 extension mặc định trước đây trên Cốc Cốc là Từ Điển và Savior (Savior là extension là phần mở rộng giúp các bạn có thể download các video/audio trên mọi website), cả hai extension này không thể gỡ bỏ và Rủng Rỉnh cũng không hề ngoại lệ. 

 

Trong khi đó Chrome cũng có rất nhiều extension được cài mặc định sẵn khi tải trình duyệt nhưng người dùng Chrome hoàn toàn có thể xóa những extension mặc định này. Còn đối với Cốc Cốc, người dùng không có quyền đựa lựa chọn, họ bị ép dùng extension dẫu cho họ thích, thậm chí ngay khi đã tìm được các gỡ extension Rủng Rỉnh ra thì Cốc Cốc cũng tự động cài lại. Đây chỉ mới là một phần lý do mà Cốc Cốc ăn cả triệu tấn gạch mấy ngày nay và cả cơn bão đánh giá 1 sao trên cửa hàng của Chrome cho extension Rủng Rỉnh.

Phân tích về Rủng Rỉnh

Theo M.T, khi bật sang chế độ dành cho nhà phát triển thì thấy được mấy truy vấn HTTP khá thú vị.
Với đường dẫn của endpoint và phần phản hồi với các từ khóa khá là tường minh như "remote scripts", "domain", "script" - bất cứ một lập trình viên nào cũng có thể dễ dàng đoán được đây là hành động "thực thi lệnh từ xa". Có nghĩa là các file JavaScript kia sẽ được chèn vào và thực thi trên các trang web có liên kết khớp với các đoạn regex như trong hình. Có thể thấy, trong danh sách này toàn là những trang thương mại điện tử lớn ở Việt Nam.

 

Khi được chèn vào, các file JavaScript này tiếp tục nạp thêm các file JavaScript khác và gửi các truy vấn tracking thu thập thông tin, hành động của người dùng trên các trang web kia và gửi về cho bên thứ 3.

 

Thêm một điều bất ngờ, khi whois hai domain này thì đều thấy chủ sở hữu ở Nga

 

Theo Wikipedia: "Dự án do ba lập trình viên Việt Nam tốt nghiệp đại học Moscow, Liên bang Nga sáng lập. Cốc Cốc được hỗ trợ bởi Yandex (công cụ tìm kiếm chiếm 60% thị phần tại Nga)"

 

 

Ở endpoint "traffic exchange" (chuyển đổi lưu lượng truy cập), extension này sẽ chèn một hộp thoại kèm với CTA (Call-To-Action) để kêu gọi người dùng truy cập vào rungrinh.vn/exchange (nhìn vào key button_link).

 

Về vấn đề thu thập dữ liệu người dùng

Có nhiều trang đã viết về việc Cốc Cốc gửi dữ liệu của người dùng về máy chủ của họ, điều này thực ra là do tính năng kiểm tra lỗi chính tả và tự động thêm dấu tiếng Việt của Cốc Cốc.

Trong Chính sách bảo mật Cốc Cốc đã ghi rõ điều này:
Nếu bạn sử dụng chức năng kiểm tra lỗi chính tả và thêm dấu, đoạn văn bản bạn nhập vào sẽ được gửi tới máy chủ của Cốc Cốc, đồng thời bạn sẽ được gợi ý các phương án viết từ cho phù hợp. Bạn có thể tắt cả hai chức năng này trong cài đặt của trình duyệt.
Để chắc chắn là chính sách này không phải được bổ sung thêm sau khi scandal xảy ra, bạn M.T có kiểm tra bằng công cụ Web Archive và thấy vốn dĩ nó đã được ghi rõ từ lâu rồi và khá giống với chính sách bảo mật của Chrome, trong tính năng dịch vụ dự đoán tìm kiếm:
Khi bạn tìm kiếm bằng thanh địa chỉ trong Chrome, các ký tự bạn nhập (ngay cả khi bạn chưa nhấn “enter”) được gửi tới công cụ tìm kiếm mặc định của bạn.
Và thường thì Google chính là công cụ tìm kiếm mặc định trên Chrome, nên chúng ta có thể hiểu là "dữ liệu bạn nhập được gửi tới Google". Điều này khá dễ hiểu, ví dụ bạn gõ "J2" thì Chrome gửi về Google và nhận lại danh sách từ khóa gợi ý cho người dùng như "J2 Pro", "J2TEAM", "J2TEAM Community"....

Rất giống với Chrome nhưng tại sao Cốc Cốc vẫn bị chửi ???

Vì Cốc Cốc thu thập dữ liệu nhập vào của người dùng ở một phạm vi lớn hơn rất nhiều, không chỉ khi họ tìm kiếm, mà kể cả khi bạn chat với người yêu, soạn email cho đối tác,... thì những gì bạn nhập vào đều được gửi tới một nơi nào đó mà trước giờ bạn không hề biết. Nhưng có một điều các bạn chưa biết. Đó là việc này đã được phát hiện ra từ năm 2014

 

Nhưng vì sao đến lúc này mới dậy sóng. Có lẽ các bạn cũng biết scandal của Facebook vừa qua về việc lộ thông tin người dùng, nên các vấn đề bảo mật thông tin các nhân lúc này đang cực kỳ nhạy cảm nên Cốc Cốc đang gánh chịu dữ dội hơn.

Vậy có nên gỡ bỏ Cốc Cốc

Vấn đề này tùy ở mỗi người và tùy theo nhu cầu sử dụng. Riêng với bản thân tôi một chỉ xem Cốc Cốc để một phần mềm để download các video cần thiết chứ không coi Cốc Cốc là một trình duyệt như Chrome hay Fire Fox.