Nếu đang dùng Android, có thể bạn đã bị nhà sản xuất của mình nói dối về các bản cập nhật bảo mật

Vũ An

Cứ như thế bản cập nhật của Android vẫn chưa đủ tồi tệ vậy.

Điện thoại Android vẫn nổi tiếng là cập nhật chậm - như trong đợt cập nhật gần đây nhất vào tháng 2, chỉ có 1,1% người dùng Android có được bản mới nhất - nhưng rõ ràng vấn đề này có những nguyên nhân sâu xa phức tạp hơn chúng ta tưởng.

Tờ Wired đưa tin tổ chức nghiên cứu Security Research Labs (SRL) cho rằng nhiều nhà sản xuất Android đã nói dối người dùng của mình về các bản vá bảo mật.

Karsten Nohl và Jakob Lell đã dành 2 năm phân tích các thiết bị Android, kiểm tra xem chúng có thực sự được cài bản vá bảo mật như đã nói hay không. Họ phát hiện ra rằng nhiều thiết bị thiếu nhiều bản vá trong khi vẫn được khẳng định là đã cập nhật rồi. Họ gọi đây là “khoảng trống bản vá” (patch gap).

Việc thiếu bán vá cũng không phải ngẫu nhiên. Theo Wired, SRL dã kiểm tra việc cập nhật từng bản vá cho firmware của 1200 điện thoại đến từ Google, Samsung, HTC, Motorola, ZTE và TCL trong năm ngoái. Kết quả là ngay cả những điện thoại phân khúc cao cấp của Samsung hay Sony thi thoảng cũng thiếu.

Dù cố ý hay không thì rõ ràng việc này cũng không hay chút nào vì người dùng cần được bảo vệ tốt nhất bằng những bản cập nhật bảo mật mới nhất. Nghĩ rằng mình đã được bảo vệ trong khi không phải như vậy có thể dẫn tới nhiều chuyện tệ hại hơn. Để giúp đỡ người dùng, SRL có một công cụ gọi là SnoopSnitch trên Play Store giúp phân tích các bản và firmware đã được cài hoặc còn thiếu.

Dù có được cập nhật hay không thì ít nhất người dùng cũng nên được biết sự thật

Không phải tất cả các nhà sản xuất đều giống nhau. Nhìn chung Google, Samsung hay Sony thi thoảng mới thiếu, còn ZTE hay TCL thì tệ hơn nhiều khi thường thiếu tới 4 (hoặc nhiều hơn) bản vá so với những gì họ nói.

Về phần Google, họ nói với tờ Wired rằng “Chúng tôi đã tiến hành xem xét từng OEM, xem chứng nhận tương thích của thiết bị”, và nói rằng sẽ còn điều tra thêm. Google cũng giải thích 1 số vấn đề mà SRL tìm ra về vấn đề bỏ qua bản vá, rằng họ có thể họ xóa khỏi thiết bị, hoặc một số điện thoại thiếu chứng nhận bảo mật Android chính thức của Google.

Google có gửi tới tờ The Verge:

“Chúng tôi muốn cảm ơn Karsten Nohl và Jakob Kell vì nỗ lực gia tăng bảo mật cho hệ sinh thái Android của họ. Chúng tôi đang làm việc cùng họ để cải thiện cơ chế phát hiện tình huống mà người dùng chọn bản cập nhật bảo mật khác thay vì bản mà Google gợi ý. Bản vá bảo mật là một trong nhiều lớp được dùng để bảo vệ người dùng Android. Các phương pháp tích hợp trên nền tảng như sandbox ứng dụng, dịch vụ bảo mật như Google Play Protect, cũng quan trọng không kém. Những lớp bảo mật này - cùng với sự đa dạng của hệ sinh thái Android - cũng góp phần khiến các nhà nghiên cứu cho rằng việc khai thác thiết bị Android từ xa vẫn là một thử thách”.

Xem thêm:

Người dùng quan tâm tải SnoopSnitch tại đây.

Thứ Năm, 26/04/2018 16:28

3 ★ 1 👨 157