Thực tế, trong phần bản ghi về các thay đổi của iOS 13 đã đề cập rằng trình duyệt Safari của Apple sử dụng hệ thống Safe Browsing (duyệt web an toàn) của Tencent để chống lại các trang web độc hại, nhưng bản thân Tencent lại có quyền truy cập vào bất kỳ chiếc iPhone và iPad qua IP trong suốt quá trình này.
Bản thân các danh sách đen (blacklist) này là cơ sở để tham chiếu và đưa ra cảnh báo khi người dùng vô tình hoặc cố ý truy cập vào các trang web độc hại. Nhưng chúng cũng có thể được dùng để theo dõi người dùng, trong trường hợp tệ nhất, trình duyệt Safari còn có thể gửi trực tiếp mọi dữ liệu ghi lại các liên kết mà bạn nhấp vào (để kiểm tra và đối chiếu với danh sách đen), qua đó tạo ra nhật ký khá toàn diện về các hoạt động internet của người dùng, chúng được liên kết qua địa chỉ IP của bạn.
Dĩ nhiên, Apple sẽ chối bay mối liên kết và giả thuyết trên. Trả lời trang tin TheVerge, đại diện Apple cho rằng họ không hề cung cấp danh sách lịch sử duyệt web của người dùng cho Tencent (và cả Google), hãng tuyên bố: “Apple luôn bảo vệ quyền riêng tư của người dùng và dữ liệu của bạn bằng tính năng Fraudulent Website Warning trên Safari. Khi nó được bật, Safari sẽ kiểm tra các địa chỉ URL của trang web dựa trên danh sách các trang web đã biết và hiển thị cảnh báo nếu địa chỉ web bị nghi ngờ có các hành vi gian lận hoặc lừa đảo. Để nhận biết, Safari sẽ sử dụng thư viện và danh sách đen do Google và Tencent cung cấp. Thực tế, các địa chỉ web của bạn sẽ không bao giờ được chia sẻ với các nhà cung cấp tính năng duyệt web an toàn và tính năng này cũng có thể được tắt dựa trên lựa chọn của người dùng”.
Tuy nhiên, Matthew Green, một nhà mật mã học tại viện Johns Hopkins đã đưa ra một kịch bản phức tạp hơn về hệ thống Safe Browsing trên Safari. Ông đưa ra ví dụ, Google có thể dựa vào sự tương tác của Safari với danh sách đen. Về cơ bản, Google sẽ mã hóa bằng cách “băm” (hash) từng URL không an toàn thành một đoạn mã ngẫu nhiên, sau đó gửi cho Safari các phần đầu (prefixes) của mã hash này dựa theo danh sách của họ. Nếu khớp, trình duyệt Safari sẽ tiếp tục yêu cầu Google cung cấp toàn bộ giá trị hàm hash (bao gồm cả tiền tố đã cung cấp trước đó). Sau khi được Google cung cấp toàn bộ đoạn mã hóa của một trang web không an toàn, Safari sẽ kiểm tra để xem có khớp không rồi gắn “cờ” để cảnh báo người dùng.
Điều này có nghĩa là về lý thuyết Google sẽ không nhận được bất kỳ thông tin nào trong hầu hết trường hợp do không nhận được các dòng mã hash hoàn chỉnh. Nhưng khi Safari tìm thấy tiền tố phù hợp và yêu cầu Google cung cấp đoạn mã hoàn chỉnh, đó là lúc nó sẽ “vô tình” tiết lộ địa chỉ IP của người dùng, cũng như một phần mã hash của bất kỳ trang web nào mà người dùng đang truy cập.
Nếu Google (hay Tencent) có thiện chí, sự đánh đổi riêng tư này là hợp lý, nhất là khi người dùng đối mặt với các trang web độc hại. Nhưng Green cho rằng, những kẽ hở nhỏ trong “dòng chảy” này vẫn có thể gây ra rò rỉ danh tính của người dùng khi họ duyệt web hằng ngày. Nếu bản thân nhà cung cấp Google hay Tencent cố tình theo dõi người dùng, thì không quá khó để họ thu thập các thông tin và lịch sử web. Ông không kết luận Tencent có làm điều này không nhưng cho rằng Apple phải giải thích rõ cho người dùng an tâm.
Điều này có thể được coi là một sai lầm nhỏ của Apple, bởi hiện nhiều công ty Mỹ vẫn đang làm việc với Tencent, như Reddit, Forrnite… Nhưng với lịch sử không mấy minh bạch của Tencent, kết hợp với thái độ cảnh giác của Mỹ thì người dùng có quyền nghi ngờ khả năng do thám dữ liệu iOS của chính phủ Trung Quốc. Đặc biệt, thông tin này vỡ ra trong khi Apple đang đối mặt với các chỉ trích về khả năng sự nhượng bộ của hãng với chính phủ Trung Quốc, từ việc hãng bắt đầu lưu trữ một số dữ liệu mã hóa iCloud tại Trung Quốc hồi năm ngoái, hay mới nhất là động thái gỡ bỏ một ứng dụng bản đồ giúp người biểu tình ở Hồng Kông “né” các trạm kiểm soát của cảnh sát trong bối cảnh mối quan hệ giữa chính quyền và người dân đặc khu này đang rất căng thẳng.
Trước đó, Apple luôn coi quyền riêng tư là “vũ khí” để hãng khoe mẽ và cạnh tranh với các đối thủ công nghệ khác, do vậy các hành động sẵn sàng thỏa hiệp với Trung Quốc hay hợp tác với Tencent đang bị coi là điểm yếu chí mạng, dễ bị người dùng cảnh giác và các đối thủ như Facebook quay lại “đáp trả”.
Câu chuyện lớn hơn ở đây không chỉ còn nằm ở Apple, bởi hiện quyền riêng tư trực tuyến đang ngày càng trở nên khó kiểm soát, khi mà các công ty lớn đang kiểm soát và thâu tóm phần lớn internet. Rất dễ để lên án các hành vi theo dõi người dùng khi họ dùng nó để phục vụ các quảng cáo hướng đối tượng, nhưng vẫn cần các công cụ bảo vệ truy cập khi duyệt web. Đó là lúc chúng ta phải đánh đổi quyền riêng tư để ngăn chặn các mối đe dọa khác từ các trang web lừa đảo cũng như các phần mềm độc hại, lúc này Apple cũng khó xử hơn bao giờ hết.
