GrapheneOS vừa thả một quả bom mạng về vụ Hardware Attestation đang bị Google, Apple lợi dụng để khóa mõm OS bên thứ ba. Hóng ngay drama tại C4F!
Anh em dev chắc không lạ gì cái cảnh thức trắng đêm hì hục cài custom ROM, root máy cho xịn xò con bò, xong đến sáng hôm sau đ*o mở được app ngân hàng đúng không? GrapheneOS vừa nổ một quả bom trên MXH về cái gọi là "Hardware Attestation" (Xác thực phần cứng) — thứ ban đầu mang tiếng là bảo vệ user, nhưng giờ đang dần biến mấy ông lớn thành những kẻ độc tài công nghệ.
Cho anh em lười đọc thì sự tình nó thế này. GrapheneOS - cái hệ điều hành nổi tiếng cho mấy pháp sư chuộng privacy - vừa lên tiếng bóc phốt rằng tính năng Hardware Attestation đang bị lạm dụng để triệt đường sống của các hệ điều hành bên thứ 3.
Về lý thuyết, xác thực phần cứng (như Play Integrity của Google hay DeviceCheck của Apple) là một cái key mã hóa nằm sâu trong chip để chứng minh: "Ê, cái máy này là hàng chuẩn, OS chưa bị chọc ngoáy, không có mã độc". Nghe thì mượt phết, bảo mật tận răng cơ mà!
Nhưng thực tế thì hơi ảo ma. Các Big Tech đang dùng cái key này làm thẻ bài sinh tử. Nếu máy anh em không chạy OS "chính chủ" của hãng? Khỏi chạy app ngân hàng, khỏi chơi game, thậm chí vài app cơ bản cũng say "No". Anh em bỏ tiền chục củ mua máy về, nhưng thực chất chỉ là "thuê" quyền sử dụng từ các hãng. Quyền sinh quyền sát thuộc về thằng nắm Hardware Key.
Bài post này trên Hacker News hút về hơn 700 điểm, chứng tỏ độ hot đ*o đùa được. Dân tình lập tức chia làm 3 phe chém gió tung trời:
Phe FOSS (Thánh chiến vì Tự do): Đa số anh em hệ mã nguồn mở chửi mấy ông lớn lùa gà. Họ cho rằng đây là một âm mưu rất ma giáo để bóp nghẹt đối thủ. "Tôi mua phần cứng, tôi có quyền cài cái đ*o gì tôi thích!". Việc các hãng ép dev phải dùng Attestation API chả khác gì khóa mõm người dùng, ép mọi người phải ở trong cái chuồng đã được rào sẵn.
Phe Dev Fintech/Security: Phe này thì thực dụng hơn. Mấy lão quái chuyên làm app ngân hàng với game online thì lại bênh vực cơ chế này. Lý do? Nếu thả cửa cho mấy máy root, máy cài OS lậu vào hệ thống, tụi cheat và botnet nó cày cho nát API, sập máy chủ sớm. Không có Hardware Attestation, đố ông nào dám cam kết app không bị can thiệp để fake giao dịch.
Phe Pragmatist (Đu dây): Một số cao nhân thì tặc lưỡi: "Cái gì cũng có giá của nó". Bảo mật cao thì hi sinh tự do. Vấn đề không nằm ở công nghệ, mà nằm ở việc ai là người cầm trịch. GrapheneOS bức xúc cũng đúng, vì họ làm OS xịn nhưng vẫn bị đánh đồng với OS lậu chỉ vì đ*o nằm trong "whitelist" của ông cố nội Google.
Tóm cái váy lại, cuộc chiến giữa Tự do và Bảo mật chưa bao giờ có hồi kết. Dưới góc nhìn của thợ code chúng ta, anh em phải chấp nhận một sự thật phũ phàng: Kỷ nguyên vọc vạch, cài custom ROM đang dần đi vào dĩ vãng. Các kiến trúc Enclave, TPM, hay Attestation sẽ là tiêu chuẩn bắt buộc.
Khi anh em build app, đặc biệt là các app liên quan đến tiền bạc, việc dùng Attestation để bảo vệ hệ thống là điều chắc chắn phải làm. Đừng dại mà tin vào client. Nhưng ở góc độ người dùng, chúng ta cũng nên tỉnh táo trước những tính năng mang danh "bảo mật" nhưng thực chất là "độc quyền". Hãy ủng hộ các dự án mở nếu có thể, để Big Tech không thể một tay che trời.
Nguồn hóng hớt: GrapheneOS trên Mastodon (Via Hacker News)
