Google Chrome thiếu bảo vệ trước kỹ thuật "dấu vân tay trình duyệt" phổ biến nhất

Google Chrome thường xuyên được Google marketing với các tính năng an toàn vượt trội. Tuy nhiên, theo chuyên gia tư vấn quyền riêng tư Alexander Hanff, trình duyệt này lại thiếu hụt nghiêm trọng khả năng bảo vệ người dùng trước "dấu vân tay trình duyệt" (browser fingerprinting) – một trong những phương thức cơ bản và phổ biến nhất để theo dõi người dùng trên mạng.

Dấu vân tay trình duyệt là kỹ thuật thu thập các chi tiết kỹ thuật về trình duyệt và thiết bị của người dùng để tạo ra một định danh duy nhất, cho phép theo dõi họ mà không cần sử dụng cookie.

Chrome không có khả năng chống lại dấu vân tay

"Có ít nhất 30 kỹ thuật dấu vân tay riêng biệt đang hoạt động trên Chrome ngay lúc này, ngay khi bạn đang đọc những dòng này," Hanff, người cũng là cộng tác viên của The Register, viết trong một bài phê bình gần đây về trình duyệt của Google.

Ông nhấn mạnh rằng đây không phải là các cuộc tấn công lý thuyết từ các bài báo học thuật, mà là "các kỹ thuật thực tế được triển khai trên hàng triệu trang web để nhận diện và theo dõi bạn mà không có kiến thức hay sự đồng ý của bạn."

Khi truy cập các trang web, người dùng có thể để lại dấu vân tay ghi lại hệ điều hành họ đang sử dụng, độ phân giải màn hình và các phông chữ đã cài đặt. Thông tin này được truyền tải trong lưu lượng truy cập từ trình duyệt đến máy chủ web hoặc thông qua các tập lệnh trang và yếu tố theo dõi của bên thứ ba. Những dấu vân tay này có thể trở thành các định danh duy nhất, khó xóa bỏ hơn nhiều so với cookie.

Sự trỗi dậy của dấu vân tay trình duyệt

Khoảng một thập kỷ trước, Apple, Mozilla và các nhà sản xuất trình duyệt chú trọng quyền riêng tư khác đã bắt đầu triển khai các biện pháp phòng thủ hiệu quả hơn chống lại việc theo dõi dựa trên cookie. Điều này đã thúc đẩy các nhà quảng cáo chuyển sang sử dụng dấu vân tay trình duyệt, phương pháp này khó chặn hơn nhiều so với cookie. Kỹ thuật này cũng được sử dụng trong phát hiện gian lận.

Theo một bài nghiên cứu năm 2021, dấu vân tay trình duyệt được tìm thấy trên "hơn 10 phần trăm trong số 100.000 trang web hàng đầu và hơn một phần tư trong số 10.000 trang web hàng đầu."

Mặc dù dấu vân tay trình duyệt có thể có những công dụng hợp pháp, nhưng nó tạo ra rủi ro đáng kể về quyền riêng tư. Một nghiên cứu được công bố trên tạp chí Nature vào tháng 10 năm ngoái đã phát hiện ra rằng chỉ cần biết bốn trang web mà một cá nhân truy cập nhiều nhất là đủ để xác định 95% số người.

Google từ bỏ Privacy Sandbox

Vào năm 2019, Google đã công bố sáng kiến Privacy Sandbox "để phát triển một bộ tiêu chuẩn mở nhằm tăng cường quyền riêng tư trên web", bao gồm cả việc làm mờ các dấu vân tay trình duyệt. Tuy nhiên, sau sáu năm chật vật, sự nghi ngờ của ngành công nghiệp và vận động hành lang, Google đã từ bỏ Privacy Sandbox vào tháng 4 năm 2025.

Điều này diễn ra chỉ vài tháng sau khi công ty thay đổi quan điểm từ "dấu vân tay kỹ thuật số là sai" sang "dấu vân tay kỹ thuật số là ổn nếu được tiết lộ" vào tháng 12 năm 2024.

"Chrome gần như không vận chuyển bất kỳ cơ chế chống dấu vân tay tích hợp nào nào," Hanff nói. "Hãy để tôi nói lại điều này vì nó rất quan trọng – trình duyệt của Google, trình duyệt phổ biến nhất thế giới, về cơ bản không làm gì để ngăn chặn các trang web xây dựng một hồ sơ duy nhất về thiết bị của bạn."

Hanff chỉ ra rằng các trình duyệt khác có các biện pháp bảo vệ. "Brave có farbling. Firefox có privacy.resistFingerprinting. Chrome không có gì. Privacy Sandbox của Google đã bị ngừng lại vào tháng 4 năm 2025 mà không triển khai bất kỳ biện pháp giảm thiểu cụ thể nào cho dấu vân tay."

Rủi ro giám sát thực tế

Những lo ngại này có vẻ lỗi thời vào thời điểm mọi người cho phép các tác nhân AI lục lọi qua tệp của họ và chia sẻ chi tiết nhạy cảm với các ứng dụng AI của bên thứ ba. Tuy nhiên, chúng có hậu quả thực tế.

Một báo cáo gần đây của Citizen Lab đã mô tả chi tiết cách dữ liệu giám sát dựa trên quảng cáo được bán cho các tổ chức chính phủ và thực thi pháp luật trên toàn thế giới. Một trong các sản phẩm giám sát được mô tả "tự động trích xuất thông tin có sẵn từ các kết nối mục tiêu" bao gồm địa chỉ IP, loại trình duyệt, ngôn ngữ, phiên bản và plugin, hệ điều hành và phiên bản, loại thiết bị, thông tin CPU và GPU, độ phân giải màn hình, v.v. Nó thực hiện dấu vân tay thiết bị, cùng với các loại giám sát khác.

Hanff kết luận: "Các công nghệ được mô tả trong tài liệu này không mang tính lý thuyết – chúng được triển khai ở quy mô lớn chống lại hàng tỷ người mỗi ngày. Hiểu về chúng là bước đầu tiên. Xây dựng các công cụ để phát hiện và phơi bày chúng là bước tiếp theo."

Google chưa phản hồi yêu cầu bình luận về vấn đề này.