Cảnh sát nói tội phạm dùng Google Pixel và GrapheneOS — nhưng tôi xem đó là tự do đích thực

 (androidauthority.com)
4 điểm bởi GN⁺ 2025-07-24 | 2 bình luận | Chia sẻ qua WhatsApp
  • Tại Tây Ban Nha, đã xuất hiện hiện tượng cảnh sát lập hồ sơ người dùng bằng cách gắn những ai sử dụng thiết bị Google Pixel với tội phạm, nhưng điều này không phải vì chip bảo mật Titan M2 được tích hợp sẵn trên Pixel, mà là nhờ GrapheneOS, một hệ điều hành tập trung vào quyền riêng tư
  • GrapheneOS không đi kèm sẵn các dịch vụ của Google, nhưng vẫn có thể cài Play Store và sử dụng bình thường hầu hết ứng dụng (thậm chí cả ứng dụng ngân hàng), qua đó thay thế hoàn chỉnh các chức năng chính của Android mà không gây bất tiện lớn trong quá trình cài đặt và sử dụng
  • Hệ thống có sandbox ứng dụng và cơ chế kiểm soát quyền cực kỳ nghiêm ngặt, đến mức ngay cả Google cũng chỉ hoạt động trong phạm vi bị hạn chế như một ứng dụng thông thường, đồng thời còn cung cấp các tính năng bảo mật nâng cao như mã PIN cưỡng bức (duress PIN)
  • Lý do dùng GrapheneOS không phải vì “có gì đó cần che giấu”, mà là để người dùng tự nắm quyền kiểm soát dữ liệu và thiết bị của mình
  • Cách nhìn gắn các công cụ quyền riêng tư với tội phạm lại càng chứng minh tầm quan trọng của quyền riêng tư, và vấn đề nằm ở việc lạm dụng chứ không phải ở bản thân phần mềm

Cảnh sát Tây Ban Nha nghi ngờ người dùng Pixel + GrapheneOS là “có liên quan đến tội phạm”

  • Có tin cho biết cảnh sát khu vực Catalonia, Tây Ban Nha đang lập hồ sơ người dùng bằng cách gắn người sở hữu thiết bị Google Pixel với tội phạm
  • Lý do các tay buôn ma túy ưa chuộng Pixel không phải là chip bảo mật Titan M2, mà là GrapheneOS, hệ điều hành ưu tiên quyền riêng tư
  • Tác giả cũng là một người dùng phổ thông sử dụng GrapheneOS và cảm thấy khó chịu với cách gán ghép này

Vì sao lại dùng GrapheneOS

  • GrapheneOS dễ cài đặt và có thể sử dụng mà không phải đánh đổi các tính năng của phần mềm hiện đại
  • Dù là một bản fork Android mã nguồn mở, hệ điều hành này vẫn có khả năng cài Play Store và độ tương thích ứng dụng rất tốt
    • Phần lớn ứng dụng (đặc biệt là cả ứng dụng ngân hàng) đều hoạt động bình thường
  • Những điểm nổi bật chính là nhiều tính năng bảo mật, sandbox ứng dụng được tăng cường và giảm các vector tấn công độc hại
    • Trên Android thông thường, các ứng dụng Google có thể truy cập dữ liệu cá nhân ở cấp hệ thống
    • Trên GrapheneOS, các ứng dụng Google cũng chạy trong sandbox như ứng dụng thông thường, quyền bị tắt mặc định và có thể được kiểm soát thủ công
    • Nhờ tách biệt hồ sơ người dùng, quyền của ứng dụng có thể được cô lập an toàn hơn, đồng thời còn hỗ trợ chuyển tiếp thông báo về hồ sơ chính
  • Có thể quản lý quyền chi tiết như chặn Internet theo từng ứng dụng, chặn truy cập cảm biến
  • Có thể chỉ cho phép một ứng dụng cụ thể truy cập các liên hệ, ảnh hoặc tệp được chọn
  • Cung cấp mã PIN cưỡng bức (Duress: khi bị ép phải nhập mật khẩu, việc nhập mã này sẽ xóa sạch toàn bộ dữ liệu)

Những hiểu lầm về GrapheneOS và quyền riêng tư

  • Trước ý kiến rằng "Nếu không có gì để che giấu thì cần gì phải dùng", mục tiêu thực sự là giành quyền kiểm soát thiết bị và dữ liệu theo hướng người dùng làm chủ
  • Khả năng giảm thiểu tối đa việc Google truy cập dữ liệu là một lợi thế cốt lõi
  • Tính năng cô lập ứng dụng của GrapheneOS rất hiệu quả trong việc ngăn chặn lây nhiễm từ xa hay các cuộc tấn công độc hại
  • Một số cải tiến bảo mật còn được đưa ngược vào AOSP, góp phần nâng cao độ an toàn cho toàn bộ hệ sinh thái Android
  • Việc GrapheneOS tự nó thu hút sự chú ý của cơ quan thực thi pháp luật cũng là bằng chứng cho thấy hiệu quả tăng cường quyền riêng tư của nó lớn đến mức nào

Vì sao quyền riêng tư và bảo mật của GrapheneOS trở thành tranh cãi chính trị

  • Giống như các dịch vụ nhắn tin mã hóa như Signal, GrapheneOS cũng phải đối mặt với nghi ngờ và sức ép vì khiến hoạt động giám sát trở nên khó khăn hơn
  • Tại EU, đang có động thái yêu cầu quét cả các tin nhắn mã hóa đầu cuối thông qua dự luật "Chat Control"
    • Dù bản thân mã hóa vẫn được cho phép, việc quét trước ngay trên thiết bị trên thực tế tương đương với đưa vào một cửa hậu
    • Điều này có thể làm gia tăng rủi ro giám sát công dân hoặc bị tin tặc khai thác ác ý
  • Trớ trêu thay, năm 2019 Catalonia từng là tâm điểm của vụ spyware Pegasus
    • Nhiều chính trị gia và nhà hoạt động đã bị tấn công sau khi công cụ giám sát dành cho chính phủ này được sử dụng
    • Thế nhưng hiện tại, chính những công dân bình thường và power user đang cố tự bảo vệ mình lại trở thành đối tượng bị giám sát

Tính trung lập của các công cụ mã nguồn mở

  • Các nhà phát triển GrapheneOS và Signal không thể kiểm soát mục đích sử dụng phần mềm, và phần lớn người dùng dùng chúng để tăng cường quyền riêng tư và bảo mật
  • Những lời kêu gọi siết quản lý các công cụ quyền riêng tư với cái cớ ngăn chặn tội phạm về bản chất là điều có vấn đề
  • Lập luận này cũng giống như nói rằng “hộp diêm dùng để phóng hỏa, tiền mặt dùng để rửa tiền”
    việc quản lý chính các công cụ quyền riêng tư là không công bằng
    • Cần thừa nhận tính trung lập công cụ của mã nguồn mở
  • Cuối cùng, việc bị cơ quan thực thi pháp luật lập hồ sơ chỉ vì sử dụng những công cụ như GrapheneOS là điều bất công
    • Nếu việc theo đuổi quyền riêng tư trở thành lý do để bị nghi ngờ, thì bản thân điều đó đã là một vấn đề xã hội

Bài viết liên quan

2 bình luận

 
bus710 2025-07-24

Nếu chỉ là vấn đề nhỏ thì một số công ty có thể dùng các ứng dụng xác thực đẩy như DUO (đăng nhập Okta/Jira, phê duyệt pull request, v.v.), nên với những hệ điều hành không chính thức như thế này có lẽ sẽ bị hạn chế trong việc cài đặt và sử dụng. Tất nhiên, dùng hai điện thoại thì cũng giải quyết được thôi...
 
GN⁺ 2025-07-24
Ý kiến trên Hacker News

  • Tài khoản mạng xã hội chính thức của GrapheneOS cho biết một số thế lực độc đoán và truyền thông ở châu Âu đang bóp méo GrapheneOS và điện thoại Pixel thành công cụ mà tội phạm sử dụng
    GrapheneOS nhấn mạnh rằng họ phản đối hệ thống giám sát đại chúng đẩy xã hội tới một nhà nước cảnh sát
    Việc quan chức nhà nước từ vị trí chính thức dùng thông tin không chính xác để gán GrapheneOS thành hệ điều hành dành cho tội phạm, và thậm chí coi cả nhóm người dùng là tội phạm, được xem là một cuộc tấn công ở cấp độ nhà nước
    Chia sẻ liên kết Tuyên bố GrapheneOS 1 / Tuyên bố 2

    • Tôi chưa từng đến Tây Ban Nha và cũng không rõ về Barcelona hay vấn đề Catalunya, nhưng đây là tình huống đáng để suy nghĩ
      Điều mỉa mai là Catalunya trước đây từng là tâm điểm của bê bối spyware Pegasus
      Pegasus là công cụ giám sát tinh vi chỉ bán cho chính phủ, và đã được dùng để hack điện thoại của các nghị sĩ Nghị viện châu Âu vào năm 2019
      Thế mà giờ cảnh sát ở khu vực đó lại nghi ngờ những công dân dùng Pixel và GrapheneOS để ngăn chặn giám sát trái phép, điều này khiến tôi thấy rất nghiêm trọng

    • GrapheneOS cũng không hoàn hảo, nhưng sự thổi phồng nỗi sợ đang tiếp diễn quá mức
      Tôi nghĩ họ đang tiến hành một chiến dịch tuyên truyền có tổ chức nhằm khiến mọi người liên tục nghi ngờ khả năng bảo vệ quyền riêng tư của GrapheneOS
      Điều đáng ngạc nhiên là cảnh sát và những bên tương tự vừa gán nó là thứ dành cho tội phạm, vừa lại khẳng định rằng nó không hề hiệu quả đối với quyền riêng tư và bảo mật
      Tham khảo: bài đăng mạng xã hội liên quan

    • Thật ra để gọi đây là “cuộc tấn công ở cấp độ nhà nước nhằm vào GrapheneOS” thì hơi quá, vì một nhà nước thực sự sẽ dùng các biện pháp nặng hơn như bắt giữ quy mô lớn hay cắt dòng tiền
      Mỗi bên đang làm PR theo cách riêng và có góc nhìn khác nhau

  • Cần phản bác lập luận “nếu không có gì để giấu thì cần gì quyền riêng tư”
    Không phải tôi là người quyết định mình phải giấu điều gì, mà là quyền lực sẽ quyết định điều đó
    Quyền lực luôn có thể tha hóa, và chỉ cần nhìn nước Mỹ hiện tại là thấy
    Ví dụ, một người nào đó là đồng tính và hiện tại không cần che giấu điều đó, nhưng nếu một chính quyền mới xuất hiện thì họ có thể bị đàn áp bất cứ lúc nào
    Rốt cuộc, nếu thông tin vẫn còn đó thì xã hội hoàn toàn có thể đến lúc coi nó là tội

    • Thậm chí không cần đi xa đến mức đó
      Với người trả lời như vậy, chỉ cần bảo họ đưa thông tin ngân hàng, mật khẩu, hoặc vài tấm ảnh nhạy cảm là đủ
      Ai cũng có thứ muốn giấu; nếu không có thì đó mới là vấn đề nghiêm trọng

    • Tôi từng đọc một ví dụ rất hay
      Câu “tôi không có gì để giấu nên không cần quyền riêng tư” cũng giống như “tôi không có gì để nói nên không cần tự do ngôn luận”
      Hệ quả của cả hai đều vô cùng lớn

  • Phong trào phản quyền riêng tư ở châu Âu thực sự rất đáng lo
    Đặc biệt là công chúng nói chung không quan tâm nhiều đến vấn đề quyền riêng tư, nên có lẽ sẽ có thay đổi lớn
    Tôi tự hỏi sự thay đổi cực đoan này bắt đầu từ đâu, hay có vận động hành lang nào đứng sau không

    • Hiện tượng này không chỉ có ở châu Âu mà ở Mỹ cũng vậy
      Ví dụ, Roman Storm gần đây đang bị đưa ra xét xử chỉ vì tạo ra công cụ bảo vệ quyền riêng tư
      Chỉ có các phóng viên của Rage là đưa tin về vụ này tương đối tốt

    • Nhiều người không hiểu rõ hệ quả của đề xuất ChatControl (cho phép chính phủ cài cửa hậu vào mọi ứng dụng nhắn tin)
      Các chính trị gia nói rằng nó chỉ nhằm bảo vệ trẻ em, nhưng ví dụ ở Thụy Điển
      cảnh sát và cơ quan tình báo có thể truy cập dữ liệu của công dân, và thông qua việc chia sẻ dữ liệu với NSA, toàn bộ DM có thể bị lưu ở Mỹ
      Cơ quan tình báo nước khác cũng có thể biết được thông tin đó, nên chỉ cần tôi lên máy bay đến quốc gia đó thì xu hướng tính dục hay quan điểm chính trị của tôi cũng có thể bị lộ
      Tất cả chuyện này diễn ra ngoài phạm vi luật pháp và thẩm quyền của đất nước tôi
      Cũng có những nghi vấn liên quan đến chính trị gia Ylva Johansson
      Wiki về ChatControl
      Tự do ngôn luận ở Thụy Điển
      Luật chống phân biệt đối xử của Thụy Điển
      Johansson, liên quan đến chính sách giám sát

    • Một khi đã xây dựng hệ thống kiểu này, đến lúc chính phủ biến chất thì nó có thể bị lạm dụng để thanh trừng đối thủ chính trị
      Nghĩ rằng “phe trung dung sẽ luôn nắm quyền” là quá ngây thơ
      Cũng như sự tự tin rằng “Trump không thể nào trở thành tổng thống” ở Mỹ đã hóa ra là ảo tưởng, thì ở Anh Reform hay ở Pháp National Rally cũng hoàn toàn có thể lên nắm quyền
      Không ai nên giả vờ như không thấy điều đó

    • Chuyện có vận động hành lang đứng sau là điều hiển nhiên
      Vấn đề nghiêm trọng hơn là những quốc gia từng đề cao nhân quyền và quyền riêng tư đã quay ngoắt hoàn toàn trong 10~15 năm qua
      Đây không chỉ là do cực hữu, mà là một nỗ lực công khai nhằm chặn tiếng nói của người dân
      Với những nước như Hungary thì còn có thể hiểu, nhưng việc EU và các bên tương tự đưa ra chính sách như vậy thì hoàn toàn vô lý

  • Đa số mọi người nói đây là một cuộc tấn công vào quyền riêng tư, nhưng thực ra tôi không thấy phần đó trong bài báo
    Trọng tâm là cảnh sát đang profiling người dùng điện thoại Pixel
    Đây là vấn đề khác với việc cấm hay hình sự hóa mã hóa
    Cá nhân tôi cũng quan tâm đến quyền riêng tư đến mức dùng Mullvad trên điện thoại Pixel
    Nhưng cuộc tranh luận lần này giống như mọi người chỉ đọc tiêu đề rồi tấn công một kẻ thù tưởng tượng
    Thảo luận thực sự nên là liệu việc profiling của cảnh sát có phù hợp hay không, hoặc ngược lại liệu người dùng GrapheneOS có thực sự là tội phạm hay không
    Đúng là châu Âu đang tấn công mã hóa và quyền riêng tư, nhưng lần này không phải trường hợp đó

    • Muốn đi đến nội dung cốt lõi rằng cảnh sát đang profiling người dùng Pixel thì phải bấm qua nhiều liên kết mới thấy
      Thực tế chỉ là một câu nhận xét thoáng qua của một cảnh sát
      Tôi có cảm giác truyền thông đang biến đúng một câu đó thành vấn đề lớn

    • Bản chất của vụ việc lần này là việc lan truyền nhận thức sai lệch rằng dùng GrapheneOS đồng nghĩa với tội phạm

    • Cũng cần thảo luận luôn về chính khái niệm tội phạm
      Nếu xã hội không gán những hành vi vô hại của người bình thường thành tội phạm, thì nhu cầu quỷ hóa từng công nghệ riêng lẻ như thế này cũng sẽ giảm đi

    • Cần tranh luận về tác động thực tế của việc profiling từ phía cảnh sát
      Chuyện cảnh sát chỉ “cảm thấy hơi đáng ngờ hơn” hoàn toàn khác với việc thực sự bị chặn lại để kiểm tra hoặc khám xét liên tục chỉ vì lý do nhỏ nhặt
      Vế sau là vấn đề về cơ sở pháp lý như tiêu chuẩn kiểm tra ngẫu nhiên ở từng quốc gia

    • Sẽ thật đáng ngạc nhiên nếu có ai nghĩ rằng profiling dựa trên máy móc hay phần mềm không gây hại cho quyền riêng tư
      Ở hầu hết các nước phương Tây, việc giám sát chỉ được biện minh khi có bằng chứng về tội phạm
      Nếu thương hiệu điện thoại hay hệ điều hành trở thành căn cứ để nghi ngờ phạm tội thì chỉ riêng điều đó thôi đã là một sự xâm phạm quyền riêng tư nghiêm trọng
      Việc dùng thiết bị hướng quyền riêng tư không nên trở thành dấu hiệu khiến người ta bị nghi ngờ phạm tội

  • Tôi dùng GrapheneOS không phải vì mục đích xấu mà vì tôi không muốn Google có quá nhiều quyền kiểm soát lên toàn bộ Android
    Trớ trêu là để làm vậy tôi lại phải mua điện thoại Google, nhưng Android của hãng khác thì cuối cùng vẫn là đối tượng cho kiểu marketing và thu thập dữ liệu của Google
    Tôi cũng không hài lòng với việc Android chặn truy cập thư mục Android>Data nhân danh tăng cường bảo mật
    Đây là điện thoại của tôi nên tôi phải có quyền dùng nó theo ý mình
    Trên GrapheneOS có thể tự do truy cập các thư mục nên tôi rất thích điều đó

    • Vì GrapheneOS không hỗ trợ các điện thoại có thể khóa lại bootloader như Fairphone hay Nothing Phone nên tôi không dùng chúng
      Nó có vẻ là một hệ điều hành tuyệt vời, nhưng việc mua điện thoại Google để tránh xa Google vẫn khiến tôi thấy mâu thuẫn

  • Tranh cãi lần này bắt nguồn từ một câu bình luận của một cảnh sát ẩn danh trong mục “xã hội” của một tờ báo
    Muốn lần ra đúng nguồn gốc thì phải đi qua tới năm lớp liên kết
    Chung quy lại là một câu văn, lại còn là nội dung đã qua dịch máy nhiều lần, bị mở rộng thành một diễn ngôn lớn
    Bản dịch bài báo tiếng Tây Ban Nha / Nguyên văn tiếng Catalunya

  • Tiền mặt hiện đã là đối tượng bị quản lý và nghi ngờ ở nhiều quốc gia
    Vì dùng thẻ tiện nên quá trình chuyển đổi diễn ra dễ dàng, và ở những nơi như Thụy Điển thì thực tế gần như là xã hội không tiền mặt
    Giao dịch tiền mặt trên một mức nhất định gần như không thể, và thậm chí trả thuế hay đi xe buýt bằng tiền mặt cũng trở nên khó khăn
    Ở một số nước còn có người không có tài khoản ngân hàng
    Thậm chí có quốc gia còn theo dõi tiền mặt bằng RFID (ví dụ: Úc)
    Bề ngoài thì mọi thứ đều được gói ghém như vì mục đích tốt đẹp, nhưng thực chất là công cụ giám sát và kiểm soát

  • Công nghệ về mặt đạo đức là trung lập
    Nó có thể được dùng cho cả mục đích tốt lẫn xấu, và bản thân công nghệ không đưa ra phán xét đạo đức
    Khi quản lý công nghệ thì gánh nặng luôn đè nhiều hơn lên người dùng tuân thủ pháp luật
    Mã hóa, DRM, thậm chí cả những công cụ cơ bản như dao cũng đều như vậy
    Rốt cuộc nỗi sợ và cơn hoảng loạn đạo đức rất thường xuyên lấn át lý trí

  • Tôi mới cài GrapheneOS gần đây và đang chuyển dần ứng dụng sang
    Tôi là người rất bình thường nên dù bị giám sát cũng có lẽ không quá bận tâm, nhưng tôi bảo vệ quyền riêng tư để tránh lãng phí vô ích nguồn lực của nhà chức trách và để công ty không lấy mất thông tin của tôi
    Theo kinh nghiệm của tôi, cảnh sát chỉ cần thấy ai đó hơi khác số đông một chút là đã xem đó là “đủ bằng chứng”
    Nếu đang có tâm trạng muốn thách thức thì GrapheneOS cũng đáp ứng phần nào nhu cầu đó

    • Bảo vệ quyền riêng tư cũng giúp bảo vệ gia đình và bạn bè của tôi
      Ví dụ, có thể sandbox danh bạ để ứng dụng nhắn tin không lấy được toàn bộ liên hệ của tôi

  • Tôi đã ngừng dùng GrapheneOS vì cách họ làm PR khiến tôi khó chịu
    Trên mọi mạng xã hội đều lặp lại các chỉ trích rằng dự án khác đang làm sai, và có xu hướng hạ thấp bất cứ thứ gì chỉ hơi khác tiêu chuẩn bảo mật/quyền riêng tư của họ
    Họ lạm dụng những từ như “xúc phạm” hay “tấn công” mà không có cơ sở
    Thực tế thì GrapheneOS là tốt nhất về hiệu năng, tính dễ dùng và bảo mật, nhưng tôi vẫn thấy đáng tiếc khi họ hành xử theo cách đó
    Sự tự mãn mà tôi cảm nhận từ lâu giống như một bug “sẽ không sửa”

    • Tôi lại nghĩ việc giải thích chi tiết dự án khác đang làm sai ở đâu là điều tốt (dù tôi đồng ý là đội GOS thiếu khéo léo về đối ngoại)
      Trước đây khi hỏi vì sao Fairphone không được hỗ trợ thì chỉ nghe câu trả lời kiểu “vì bảo mật”, nhưng gần đây họ đưa ra các lý do cụ thể như Secure Element (chip bảo mật)
      Nhờ vậy tôi có thể tự tìm hiểu và so sánh

    • Tôi đã tự đi tìm tài liệu và cảm thấy mỗi khi GOS nói đến “xúc phạm” thì đều có căn cứ khá rõ
      Việc họ “chỉ trích” dự án khác là vì, chẳng hạn /e/OS tuyên bố đem lại quyền riêng tư tốt nhất dù chạy trên phần cứng bảo mật yếu và AOSP đã cũ, nên GOS phê bình có cơ sở
      Nói rằng GOS vơ đũa cả nắm rồi hạ thấp mọi dự án mã nguồn mở khác thì theo tôi ngược lại mới là xúc phạm
      Khi GOS nói đến “tấn công” là lúc có một lượng lớn lời buộc tội vô căn cứ xuất hiện
      Cũng từng có người dùng yêu cầu họ chỉ ra ví dụ cụ thể về những cáo buộc vô căn cứ đó
      Những dự án mà GOS thực sự khuyến nghị đều có lý do hợp lý
      Ngay cả thuật ngữ “Custom ROM”, GOS cũng giải thích rằng họ không ghét bản thân khái niệm đó mà cho rằng đây là cách gọi không chính xác
      Có thể có vấn đề về thái độ, nhưng nội dung không hẳn là sai

    • Tôi không nghĩ một nhà phát triển mobile OS nhất thiết phải làm PR giỏi
      Điều tôi cần là các bản cập nhật bảo mật đều đặn, và ở tiêu chí đó họ đáp ứng rất tốt