Con người thường có thể nghe được tần số âm thanh từ 20 Hz đến 20.000 Hz, mặc dù ngưỡng nghe của từng người sẽ có chút khác biệt. Tần số âm thanh dưới và trên ngưỡng nghe của con người được gọi là hạ âm và siêu âm.
Một vài năm trước đây, các công ty quảng cáo kỹ thuật số đã bắt đầu sử dụng tín hiệu siêu âm để theo dõi sở thích của người dùng trên các thiết bị. Ví dụ, nếu quảng cáo trên TV lén phát ra tín hiệu với tần số mà con người không nghe thấy, thì một điện thoại thông minh gần đó có thể nhận ra và chuyển đến một ứng dụng, cập nhật hồ sơ quảng cáo của chủ sở hữu thiết bị với các chi tiết về những gì họ đã xem và vào thời điểm nào. Khi đó, các công ty sẽ thu thập được thông tin khi một người xem chương trình nấu ăn trên TV, tin tức, thể loại phim yêu thích...
Năm 2017, Ủy ban Thương mại của Mỹ (FTC) đã công bố nghiên cứu xác định 234 ứng dụng Android nghe lén các tín hiệu siêu âm. Hành động này nhằm ngăn chặn việc theo dõi người dùng dựa vào âm thanh không nghe thấy.
Một số công ty bị cảnh báo về các hoạt động xâm phạm quyền riêng tư này như công ty quảng cáo SilverPush (Ấn Độ) đã chuyển sang các loại dịch vụ khác. Nhưng khả năng tạo mã liên lạc âm thầm với các thiết bị di động thông qua âm thanh không nghe thấy vẫn là một mối đe dọa mất an toàn thông tin, cả trên ứng dụng gốc của điện thoại di động và ứng dụng web. Các nhà nghiên cứu bảo mật tiếp tục cố gắng tìm ra những cách thức mới để sử dụng âm thanh không nghe được nhằm trích xuất dữ liệu. Thực tế, tín hiệu siêu âm vẫn được sử dụng cho các hoạt động hợp pháp, ví dụ ứng dụng Cast của Google sử dụng mã thông báo siêu âm khi ghép nối với Chromecast gần đó.
Samuel Weiler - kỹ sư bảo mật web của Phòng thí nghiệm khoa học máy tính và trí tuệ nhân tạo của Viện Công nghệ Massachusetts và là thành viên của Nhóm lợi ích bảo mật của W3C, đã thúc đẩy việc thảo luận lại về giới hạn API Web Audio để không thể sử dụng nó cho mục đích tạo hoặc nghe tín hiệu siêu âm khi chưa được người dùng cho phép.
Weiler gợi ý rằng, người dùng cần được hỏi rõ ràng về việc cho phép sử dụng API Web Audio để xử lý âm thanh không thể nghe được. Ông lo ngại việc truyền âm thanh không nghe được có thể được sử dụng để "lấy cắp dấu vân tay” thiết bị, để xác định khi hai thiết bị khác nhau ở gần nhau và xâm phạm ranh giới phạm vi giúp ngăn các ứng dụng khác nhau trên cùng một thiết bị bí mật trao đổi thông tin với nhau.
Ông cũng đặt câu hỏi về những âm thanh được che giấu trong phổ âm thanh có thể nghe được liệu có bị lạm dụng để liên lạc bí mật hay không, mặc dù đó là một thách thức kỹ thuật riêng.
Weiler đã nêu ra chủ đề này vào trung tuần tháng 4/2020, một phần trong một cuộc tranh luận lớn hơn về việc giảm bề mặt “lấy dấu vân tay” của API Web Audio. Tuy nhiên, chủ đề thảo luận này đã được đóng lại bởi Raymond Toy - một kỹ sư phần mềm của Google và là đồng chủ tịch Audio Working Group của W3C.
Toy lập luận rằng, nếu nhà phát triển đã được phép lấy các mẫu âm thanh cụ thể, thì không cần phải có sự cho phép bổ sung nào. Dù sao cũng chỉ có một số ít người dùng muốn hỏi thêm về việc cấp quyền. Các nhà phát triển web khác tham gia vào cuộc tranh luận cũng bày tỏ lo ngại rằng, việc giới hạn các dải tần số khả dụng có thể dẫn đến sự dịch pha hoặc độ trễ, trong khi không có ngưỡng dưới hoặc trên phù hợp cho tất cả mọi người.
Peter E. Snyder - nhà nghiên cứu quyền riêng tư tại công ty phần mềm Brave (Mỹ) và là đồng chủ tịch của PING cho biết, ông chia sẻ mối quan ngại của Weiler về việc xâm phạm quyền riêng tư của âm thanh không nghe được.
"Về Web Audio và âm thanh siêu âm, chúng tôi lo ngại rằng những âm thanh vượt quá nhận thức của con người có thể được sử dụng cho nhiều mục đích vi phạm quyền riêng tư. Các công ty như SilverPush đã thương mại hóa các kỹ thuật như vậy và các công ty khác đã ghi nhận việc lạm dụng chúng trong thực tế", Snyder cho biết.
"Các kỹ thuật như vậy cũng có thể được sử dụng để thực hiện theo dõi xuyên tên miền. Các trang web có thể phát ra âm thanh siêu âm mà các trang đang mở khác có thể nghe, cho phép theo dõi chéo trang mà trình duyệt Brave (và các trình duyệt ưu tiên quyền riêng tư khác) đang cố gắng ngăn chặn để bảo vệ người dùng".
Ngoài ra, trình duyệt Brave mới bổ sung một số lượng nhỏ các hàm ngẫu nhiên vào các API Web Audio khác nhau để giảm khả năng “lấy dấu vân tay” của trình duyệt. Cho dù Audio Working Group có quyết định xem xét lại quyền cho phép âm thanh dựa trên tần số hay không, thì những người liên quan vẫn có đầy đủ khả năng xử lý tất cả các lo lắng về quyền riêng tư khác trên trình duyệt .
Nguyễn Anh Tuấn
(Theo The Register)
15:00 | 03/07/2018
08:00 | 11/06/2020
08:00 | 26/06/2020
09:00 | 25/09/2019
15:12 | 31/03/2014
09:00 | 22/02/2021
13:00 | 28/03/2024
Một chiến dịch tấn công tinh vi được cho là do nhóm tin tặc APT của Trung Quốc có tên Earth Krahang thực hiện, chúng đã xâm nhập 70 tổ chức tại 23 quốc gia và nhắm mục tiêu vào ít nhất 116 tổ chức của 45 quốc gia khác trên thế giới.
16:00 | 26/03/2024
Theo nhận định của các chuyên gia, Công ty chứng khoán VNDIRECT có thể đã bị tin tặc tấn công bằng hình thức mã độc tống tiền. Cho đến chiều 26/3, hệ thống của VNDIRECT và một số hệ thống liên quan vẫn trong trạng thái ngừng trệ hoạt động.
10:00 | 13/03/2024
Các nhà nghiên cứu của công ty bảo mật đám mây Zscaler (Hoa Kỳ) cho biết, kể từ tháng 12/2023 các tác nhân đe dọa đã tạo ra các trang web giả mạo phần mềm họp trực tuyến phổ biến như Google Meet, Skype và Zoom để phát tán Trojan truy cập từ xa (RAT), bao gồm SpyNote RAT cho nền tảng Android, NjRAT và DCRat trên Windows.
17:00 | 21/12/2023
Mới đây, nhóm Nghiên cứu và Phân tích Toàn cầu của Kaspersky phát hiện một chiến dịch gián điệp mạng đang nhắm mục tiêu đánh cắp dữ liệu lưu trữ trên các thiết bị USB an toàn sử dụng trong các cơ quan, tổ chức chính phủ các nước Châu Á - Thái Bình dương (APAC).
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
15:00 | 16/04/2024
