Cốc Cốc Cốc! Ai gọi đó?

Vào hôm thứ 6 ngày 13, tớ nhận được một tin nhắn từ một bạn nữ với nội dung như sau:

Trong hôm đấy, tớ cũng thấy một số bạn khác bình luận trong nhóm J2TEAM Community hỏi về extension Rủng Rỉnh này.

Bản thân là một nhà phát triển extension, lại làm về bảo mật, nên tớ ngay lập tức tò mò về extension kia. Ban đầu tớ đã nghĩ là các bạn ấy bị ép cài thông qua Inline Installation, giống như những trường hợp malware nhắm vào người dùng Facebook trước đây mà tớ từng phân tích.

Được rồi, cùng tìm hiểu xem Rủng Rỉnh là cái khỉ gì nào!?

Do chưa từng sử dụng trình duyệt Cốc Cốc, tớ liền Google và tải về rồi cài vào... Sandbox. Và ngạc nhiên chưa... Rủng Rỉnh đã mặc định được cài sẵn trong Cốc Cốc, cùng với hai extension khác là Từ Điển và Savior.

Savior thì đã khá quen thuộc, có thể nói nó là một trong những thứ khiến nhiều bạn dùng và gắn bó với Cốc Cốc. Nếu bạn chưa biết thì nó chính là extension giúp Cốc Cốc có khả năng bắt liên kết tải video/audio trên mọi trang web. Tuy nhiên, với fan ruột của IDM như tớ thì nó chưa đủ sức hấp dẫn để khiến tớ từ bỏ Chrome.

Nhưng trong khi Savior giành được tình cảm của người dùng Cốc Cốc, thậm chí tớ biết có nhiều bạn đã tìm cách cài nó sang Chrome, thì Rủng Rỉnh lại bị chửi bới thậm tệ, một cơn bão đánh giá 1 sao đổ lên Chrome Store. Tại sao lại như thế?

Cốc Cốc không cho phép người dùng gỡ bỏ extension này. Nhưng điều buồn cười là: Savior hay Từ Điển đã có từ lâu và cũng không thể gỡ khỏi Cốc Cốc cơ mà? Theo tớ thì do hầu như người dùng của Cốc Cốc đều biết Savior và Từ Điển có tác dụng gì, trong khi Rủng Rỉnh đột nhiên xuất hiện trong những bản cập nhật gần đây (có thể nhận thấy dựa vào các đánh giá trên Chrome Store) cộng với việc người dùng không thể gỡ bỏ nó khiến họ càng thêm phần bực tức.

Cốc Cốc có sai không khi cài đặt sẵn một số extension mặc định? KHÔNG! Chrome và nhiều trình duyệt khác (được phát triển dựa trên Chromium) cũng vậy. Đây là các extension mặc định khi cài Chrome:

Sao Chrome không bị người dùng... chửi? Vì người dùng của Chrome hoàn toàn có quyền xóa những extension mặc định này, đơn giản như việc gỡ bỏ mọi extension bình thường khác trên Chrome Store. Cốc Cốc thì khác, người dùng không có quyền lựa chọn, mà họ bị ép buộc phải dùng, thậm chí ngay cả khi người dùng tìm được cách để xóa thì Cốc Cốc lại tự động cài lại cái extension Rủng Rỉnh quỷ quái kia.

Phân tích kỹ thuật đôi chút về extension

Bật Chế độ dành cho nhà phát triển, sau đó dùng lệnh chrome.runtime.reload() để khởi động lại Rủng Rỉnh, tớ thấy có mấy truy vấn HTTP thú vị sau:

Với đường dẫn của endpoint và phần phản hồi với các từ khóa khá là tường minh như "remote scripts", "domain", "script" - bất cứ một lập trình viên nào cũng có thể dễ dàng đoán được đây là hành động "thực thi lệnh từ xa". Tức là các file JavaScript kia sẽ được chèn vào và thực thi trên các trang web có liên kết khớp với các đoạn regex như trong hình. Có thể thấy, trong danh sách này toàn là những trang thương mại điện tử lớn ở Việt Nam.

Khi được chèn vào, các file JavaScript này tiếp tục nạp thêm các file JavaScript khác và gửi các truy vấn tracking thu thập thông tin, hành động của người dùng trên các trang web kia và gửi về cho bên thứ 3.

Thêm một điều bất ngờ, khi whois hai domain này thì đều thấy chủ sở hữu ở Nga:

Theo Wikipedia: "Dự án do ba lập trình viên Việt Nam tốt nghiệp đại học Moscow, Liên bang Nga sáng lập. Cốc Cốc được hỗ trợ bởi Yandex (công cụ tìm kiếm chiếm 60% thị phần tại Nga)"

Ở endpoint "traffic exchange" (chuyển đổi lưu lượng truy cập), extension này sẽ chèn một hộp thoại kèm với CTA (Call-To-Action) để kêu gọi người dùng truy cập vào rungrinh.vn/exchange (nhìn vào key button_link)

Về vấn đề thu thập dữ liệu người dùng

Có nhiều trang đã viết về việc Cốc Cốc gửi dữ liệu của người dùng về máy chủ của họ, điều này thực ra là do tính năng kiểm tra lỗi chính tả và tự động thêm dấu tiếng Việt của Cốc Cốc.

Sau khi ngó qua Chính sách bảo mật của họ thì tớ thấy họ đã ghi rõ điều này:

Nếu bạn sử dụng chức năng kiểm tra lỗi chính tả và thêm dấu, đoạn văn bản bạn nhập vào sẽ được gửi tới máy chủ của Cốc Cốc, đồng thời bạn sẽ được gợi ý các phương án viết từ cho phù hợp. Bạn có thể tắt cả hai chức năng này trong cài đặt của trình duyệt.

Để chắc chắn là chính sách này không phải được bổ sung sau khi scandal xảy ra, tớ có kiểm tra bằng công cụ Web Archive và thấy vốn dĩ nó đã được ghi rõ từ lâu rồi.

Để công bằng, tớ cũng đọc thử qua Chính sách bảo mật của Chrome, có một phần khá giống trong tính năng Dịch vụ dự đoán tìm kiếm:

Khi bạn tìm kiếm bằng thanh địa chỉ trong Chrome, các ký tự bạn nhập (ngay cả khi bạn chưa nhấn “enter”) được gửi tới công cụ tìm kiếm mặc định của bạn.

Và thường thì Google chính là công cụ tìm kiếm mặc định trên Chrome, nên chúng ta có thể hiểu là "dữ liệu bạn nhập được gửi tới Google". Điều này khá dễ hiểu, ví dụ bạn gõ "J2" thì Chrome gửi về Google và nhận lại danh sách từ khóa gợi ý cho người dùng như "J2 Pro", "J2TEAM", "J2TEAM Community",...

OK, tôi đã hiểu. Nhưng tại sao Cốc Cốc vẫn bị... chửi trong trường hợp này?

Vì Cốc Cốc thu thập dữ liệu nhập vào của người dùng ở một phạm vi lớn hơn rất nhiều, không chỉ khi họ tìm kiếm, mà kể cả khi bạn chat với người yêu, soạn email cho đối tác,... thì những gì bạn nhập vào đều được gửi tới một nơi nào đó mà trước giờ bạn không hề biết. Nhưng có một điều các bạn chưa biết. Đó là việc này đã được phát hiện ra từ năm 2014:

Nhưng chính vì được phát hiện lại vào thời điểm này mà tớ nghĩ Cốc Cốc mới bị ăn gạch nhiều hơn. Vì sao? Vì Facebook vừa dính scandal lớn về quyền riêng tư. Người dùng lúc này đang cực kỳ nhạy cảm với các vấn đề liên quan tới bảo mật dữ liệu cá nhân.

Kết luận

Vậy có nên gỡ bỏ Cốc Cốc và chuyển sang một trình duyệt khác hay không?

Hmm, câu trả lời là ở các bạn. Còn tớ thì trước giờ vốn dĩ tớ chưa bao giờ là người dùng của Cốc Cốc. Tớ đã có Chrome và IDM rồi! <3