- ICEBlock là ứng dụng iPhone cho phép báo cáo ẩn danh về sự xuất hiện của ICE tại Mỹ
- Chỉ trích từ Bộ trưởng Tư pháp Mỹ Pam Bondi đã trở thành chất xúc tác giúp ứng dụng được biết đến rộng rãi hơn
- Khoảng 20.000 người ở khu vực Los Angeles đang là nhóm người dùng chính, và mức độ phổ biến của ứng dụng tăng vọt gần đây khi các cuộc truy quét của ICE diễn ra mạnh mẽ
- Khi dùng ứng dụng, người dùng có thể chia sẻ thông tin về sự xuất hiện của ICE trong bán kính 5 dặm và nhận thông báo theo thời gian thực khi ICE xuất hiện trong khu vực đó
- Việc hoàn toàn không thu thập hay lưu trữ dữ liệu người dùng đã được xác nhận thông qua phân tích mạng của TechCrunch
Tổng quan về ứng dụng ICEBlock
- ICEBlock là ứng dụng iPhone được thiết kế để người dùng báo cáo ẩn danh về sự xuất hiện của các đặc vụ thuộc Cơ quan Thực thi Di trú và Hải quan Mỹ (ICE)
- Ứng dụng đã vươn lên nhóm đầu trên bảng xếp hạng ứng dụng miễn phí phổ biến của Apple App Store tại Mỹ, và một trong những nguyên nhân chính giúp thứ hạng tăng là làn sóng chú ý bùng nổ do những chỉ trích công khai từ Bộ trưởng Tư pháp Mỹ Pam Bondi
Tình hình sử dụng và bối cảnh lan rộng
- Khoảng 20.000 người dùng chính của ICEBlock chủ yếu ở khu vực Los Angeles
- Gần đây, do các đợt truy quét của ICE diễn ra thường xuyên tại Los Angeles, nhu cầu và sự quan tâm đối với ứng dụng này đã tăng lên
- Sau những chỉ trích từ Bộ trưởng Bondi, ứng dụng đã lan truyền mạnh chỉ sau một đêm vào tối thứ Hai, và tính đến chiều thứ Ba đã trở thành một trong những ứng dụng iPhone miễn phí được tải nhiều nhất tại Mỹ
Tính năng và điểm nổi bật
- Thông qua ứng dụng, người dùng có thể báo cáo hợp pháp về các đặc vụ ICE mà họ nhìn thấy trong phạm vi bán kính 5 dặm tính từ vị trí của mình
- Ngoài chức năng chia sẻ thông tin về sự xuất hiện của ICE, ứng dụng còn gửi thông báo ngay lập tức khi có đặc vụ ICE xuất hiện gần người dùng
Quyền riêng tư và mức độ an toàn
- ICEBlock không thu thập hay lưu trữ bất kỳ dữ liệu người dùng nào
- TechCrunch đã phân tích lưu lượng mạng của ứng dụng và xác nhận rằng không có thông tin cá nhân nào thực sự được gửi ra bên ngoài
1 bình luận
Ý kiến Hacker News
Với tôi thì chẳng có gì sai khi muốn tránh những khu vực có hoạt động của cảnh sát. Không phải vì tôi đã làm gì sai, mà vì tôi muốn tránh bị cuốn vào những phiền toái như chốt kiểm tra nồng độ cồn, hoặc bị kẹt xe khi tám xe cảnh sát chặn làn đường. Đặc biệt với tư cách là công dân Mỹ, việc bị kiểm tra giấy tờ ở ngoài sân bay, hay bị hỏi để chứng minh danh tính, tự nó đã là một tình huống đáng sợ và tôi muốn tránh
Tôi nghĩ soi vào bản chất của ứng dụng này không có nhiều ý nghĩa. Chính sự tồn tại của một ứng dụng như vậy đã là tín hiệu phản kháng trước nỗ lực biến chính quyền thành nhà nước cảnh sát. Phía chính quyền không thực sự quan tâm đến chức năng cụ thể của ứng dụng, mà chỉ phản đối vì họ ghét loại công nghệ phản kháng như thế này. Nếu họ thật sự lo về việc ứng dụng cảnh báo “nguy cơ từ cảnh sát”, thì ngay cả một ứng dụng chỉ có nút bấm để phát ra tiếng “boo ICE” cũng sẽ bị tấn công là gây hại cho cảnh sát. Thậm chí họ còn có thể chỉ trích cả báo chí độc lập, nên từ góc nhìn của chính quyền đây là một mục tiêu còn hấp dẫn hơn
Các ứng dụng điều hướng từ lâu đã có truyền thống liên tục báo cáo không chỉ hoạt động của cảnh sát mà cả những thông tin giao thông mà người ta muốn tránh. Tôi chưa từng có trải nghiệm nào vui vẻ khi chạm mặt cảnh sát, nên tránh được chừng nào hay chừng đó là điều hợp lý
Tôi không hẳn sợ khi gặp cảnh sát, đặc biệt là ICE, nhưng chưa bao giờ việc chạm mặt họ khiến ngày của tôi dễ chịu hơn. Không phải vì tôi có gì cần che giấu, mà chỉ là phiền hà hành chính vô ích. Tôi cũng tò mò không biết một công dân sinh ra ở Mỹ qua nhiều thế hệ thì thực tế có nghĩa vụ chính thức phải hợp tác với ICE đến mức nào
Đã có trường hợp ngay cả công dân Mỹ cũng bị cơ quan liên bang bắt cóc, nên việc muốn tránh họ thực sự là hoàn toàn hợp lý
Hồi nhỏ tôi tin rằng Mỹ là “vùng đất tự do”, nhưng ở Anh cảnh sát gần như chưa bao giờ yêu cầu tôi xuất trình giấy tờ. Cảnh sát có vài lần hỏi tên tôi nhưng cũng không xác minh, và tôi cũng không mang theo giấy tờ tùy thân. Ngoài lúc đi máy bay ra thì tôi hoàn toàn không có giấy tờ có ảnh
Về tuyên bố “ứng dụng không thu thập hay lưu trữ bất kỳ dữ liệu người dùng nào”, TechCrunch nói rằng họ đã thực sự phân tích lưu lượng mạng để xác minh điều đó, và như vậy là một bài kỹ thuật khá tốt. Kiểu xác minh này không hề đơn giản và việc chuẩn bị lẫn phân tích cũng tốn khá nhiều thời gian. Nếu ứng dụng được bảo mật tốt và còn dùng certificate pinning, thì để giải mã lưu lượng sẽ phải reverse engineering rồi vượt qua pinning mới làm được
Có nhiều vấn đề phức tạp ở đây, nhưng điều làm tôi ngỡ ngàng nhất là việc CNN coi chính bài báo giới thiệu ứng dụng là vấn đề. Không chỉ việc báo cáo hoạt động của cảnh sát bị coi là có vấn đề, mà ngay cả bài viết về hành vi đó cũng bị đóng khung là vấn đề. Kiểu như “CNN đang khiến những cảnh sát mỗi ngày liều mạng gặp nguy hiểm và giúp đỡ tội phạm”. Nếu bài của engadget có nhiều lượt xem thì liệu như vậy cũng là đặt mạng sống vào nguy hiểm, hay nếu câu chuyện tương tự xuất hiện trong một thread diễn đàn thì điều đó cũng bị xem là có vấn đề không
Câu “cảnh sát mỗi ngày liều mạng sống” thực ra nghe không hề ghê gớm đến thế. Tỷ lệ tử vong của cảnh sát tương đương nhân viên chăm sóc cảnh quan hay người lái cần cẩu, ít nguy hiểm hơn công nhân thu gom rác, và an toàn hơn rất nhiều so với thợ đốn gỗ. Đây là nghề nguy hiểm, nhưng tôi nghi ngờ việc họ có nên được đối xử đặc biệt vì thế hay không
Nhìn tranh cãi này, tôi thấy nó giống như những bài báo về việc quân đội Mỹ bị tấn công sau khi tiến vào nước khác mà không được chấp thuận. Không nói gì về lý do họ ở đó, mà chỉ lặp đi lặp lại luận điệu “hãy bảo vệ binh sĩ của chúng ta” để tăng ngân sách. Tôi đính kèm ví dụ là các bài từng xuất hiện trên CNN, NPR, ABC News v.v.
Việc có người xuất thân trường luật lại nói rằng “chúng tôi đang theo dõi nhà phát triển ứng dụng và họ nên cẩn thận. Đây không phải là lời nói được bảo vệ bởi tự do ngôn luận. Nó đe dọa mạng sống của mọi cảnh sát Mỹ” thật sự quá lố bịch. Tôi không thấy khác biệt gì với Waze, tín hiệu gõ mũ bảo hiểm, hay nháy đèn pha cho xe phía trước để báo vị trí cảnh sát. Việc này đã từng ra tòa và luôn được công nhận là tự do ngôn luận
Tôi lo vì gần đây Tòa án Tối cao có xu hướng dễ dàng lật ngược tiền lệ
Nghe như thể ông ta đang ám chỉ ứng dụng này được dùng để ám sát cảnh sát. Nếu đúng là vậy thì câu chuyện sẽ khác, nhưng mục đích của ứng dụng này hoàn toàn không phải thế
Họ đã biết rõ tình hình rồi nhưng chẳng mấy bận tâm. Họ có một Tòa án Tối cao đứng về phía mình, và kể cả có thua ở tòa thì cũng chẳng phải chịu hậu quả gì vì đã thử làm vậy
Có người hỏi “tín hiệu gõ mũ bảo hiểm” là gì
Tôi nghĩ khác biệt nằm ở quy mô. Các ứng dụng như Waze ai cũng có thể biết, khác hẳn với việc chỉ vài tài xế chia sẻ thông tin với nhau
Vì cảnh sát có quyền lực vượt trội hơn công dân bình thường nên cần bị áp dụng chuẩn mực cao hơn nhiều và trách nhiệm giải trình lớn hơn. Bộ đàm cảnh sát không nên được mã hóa, cơ sở dữ liệu công khai dùng cho nhận diện khuôn mặt, cũng như vị trí xe cộ và vị trí cảnh sát đều phải có thể bị theo dõi. Chỉ khi công nghệ giám sát dùng lên công dân cũng được áp lại lên cảnh sát thì mới có trách nhiệm giải trình thực sự. Nhân tiện, icespy.org cho phép tìm kiếm nhận diện khuôn mặt đối với nhân viên ICE
Cảnh tượng Bộ trưởng An ninh Nội địa và các tổng chưởng lý công kích một thường dân, còn nêu đích danh tên, thực sự là một vấn đề rất nghiêm trọng
Đúng kiểu hành vi độc đoán điển hình
Cũng có ý kiến cho rằng “nêu tên thì chẳng có gì lạ”, nhưng tôi nghĩ việc nhắm vào anh ta để tấn công mới là vấn đề nghiêm trọng hơn
So với việc 13 năm trước Apple từ chối ứng dụng cảnh báo tấn công bằng drone ở nước ngoài vì “nội dung gây khó chịu”, thì việc họ lại để một ứng dụng như ICEBlock tồn tại trên App Store thật đáng chú ý. Bài liên quan khi đó: bài của ACLU
Apple cũng từng gỡ một ứng dụng tương tự theo yêu cầu của chính phủ Trung Quốc trong thời gian biểu tình ở Hồng Kông. Khi đó người ta nói ứng dụng này gây vấn đề vì công khai vị trí cảnh sát. (Bài liên quan: bài của CNBC)
Có thể Apple cố tình giữ ứng dụng này lại vì họ không thích chính quyền Mỹ hiện tại. Tôi cũng nghĩ có khác biệt giữa việc ICE không phải quân đội, việc cung cấp thông tin cho dân thường trong nội địa Mỹ, và việc cản trở hoạt động quân sự. Ứng dụng drone strike có tác dụng cản trở mục tiêu chiến tranh của Mỹ, nên tôi hiểu vì sao Apple từ chối nó
Bản thân việc năm 2025 ở Mỹ lại cần đến một ứng dụng như thế này cũng là điều đáng để dừng lại suy nghĩ
Đây là một hiện tượng rất Mỹ. Thời Jim Crow từng có ‘Green Book’ chỉ cho người da đen những cơ sở an toàn để đi lại; ‘Underground Railroad’ là một mạng lưới thông tin giúp nô lệ tìm đến tự do. Trong Thế chiến II, các cộng đồng cũng chia sẻ thông tin về nơi trú ẩn để bảo vệ người Mỹ gốc Nhật, và cộng đồng LGBTQ+ từ lâu cũng đã xây dựng mạng lưới tìm không gian an toàn trong nguy hiểm. Các cộng đồng người bản địa cũng đã chia sẻ thông tin về di chuyển an toàn và tài nguyên trong thời gian dài
Thay vì bình luận cảm tính, tôi tự hỏi khi nào thì những vấn đề kiểu ICE này mới có thể kết thúc
Mỗi lần nghe tin tức Mỹ gần đây, tôi đều có cảm giác như đang xem một cảnh trong bộ phim dở tệ nào đó
Nếu một ứng dụng như thế này gửi đến ai đó tín hiệu rằng “mọi thứ thật kỳ quặc”, thì điều đó có nghĩa là tình hình đã rất nghiêm trọng rồi
ICEBlock chỉ có trên iOS. Nhà phát triển đã đưa ra lập trường chính thức về các vấn đề riêng tư liên quan đến Android. Lý do là gánh nặng phải quản lý thông tin an toàn trên Android, bao gồm khả năng phải hợp tác khi chính phủ ra trát. Apple cũng sẽ xử lý thông tin nội bộ vì thông báo đẩy, nhưng trong trường hợp này thì Apple có đủ tiềm lực tài chính để đối đầu với chính phủ, và như vậy thông tin cũng không còn nằm trong tay nhà phát triển
Liên kết phản biện từ GrapheneOS: lập trường của GrapheneOS
Có vẻ nhà phát triển không hiểu rõ lắm. Thực ra Android còn có lợi hơn về mặt bảo mật. (A: có thể cài APK trực tiếp nên không để lại lịch sử trên Play Store, B: có thể polling tới endpoint https nên hoạt động mà không cần thông báo đẩy, C: có thể dùng thông báo cục bộ). Trong trường hợp đó, log mà công ty có thể giao ra cùng lắm chỉ là địa chỉ IP trên máy chủ
Tôi không muốn bênh vực Google Play Store, nhưng việc không phát hành trên Android là không thuyết phục cả về kỹ thuật lẫn quyền riêng tư. Vẫn có thể dùng thông báo đẩy mà không cần tài khoản người dùng (tôi đang trực tiếp vận hành như vậy). Tuy nhiên, với nhà phát triển cá nhân thì việc đưa ứng dụng Android lên có thể phiền phức vì trước khi phát hành phải có 12 người thử nghiệm trong 2 tuần. Cũng có thể họ sẽ ép nhà phát triển sửa ứng dụng để làm lộ thông tin người dùng
Trên Android cũng có nhiều giải pháp thân thiện với quyền riêng tư. Chỉ là có thể cần thêm công sức phát triển. Ví dụ có ntfy, và Google đã đẩy nhiều phần của AOSP vào các lớp độc quyền khiến những cách tiếp cận khác khó có chỗ đứng hơn
Cuối cùng thì bất kể nhà phát triển đang làm hạ tầng hay làm trung gian gì cũng nên được mã hóa để cùng lắm chỉ biết IP và việc có cài ứng dụng hay không (có thể dùng veilid hoặc tor over http). Ngoài ra, nếu truy cập qua website thay vì ứng dụng thì đã có thể bảo đảm tính ẩn danh tốt hơn, nên tôi không thật sự hiểu vì sao lại cố làm theo kiểu ứng dụng bị nền tảng doanh nghiệp kiểm soát
Về phát biểu “chúng tôi đang điều tra nhà phát triển ứng dụng, và cần theo dõi họ…”, tôi thấy đáng sợ ở chỗ họ thậm chí không còn cố che giấu kiểu hành động này nữa. Hơn nữa, người nói lại là người xuất thân trường luật. Có người nói nhờ vậy mà họ sẽ đi cài ứng dụng ngay. Đùa rằng đúng là hiệu ứng Streisand