Phát hiện 146 lỗ hổng bảo mật trong các ứng dụng Android cài đặt sẵn

Trừ khi bạn sử dụng Google Pixel hoặc một số ít những chiếc smartphone chạy Android gốc, bạn sẽ không bao giờ có được trải nghiệm “nguyên bản” nhất của hệ điều hành này bởi gần như tất cả các nhà sản xuất smartphone đều chọn cách phát triển một phiên bản Android tùy biến để tạo nên những nét riêng biệt cho sản phẩm của mình.

Việc phát triển các nền tảng Android tùy biến không có gì xấu, thậm chí còn đáng khen bởi đó có thể coi là một nhân tố giúp tạo nên sự đa dạng - yếu tố đặc trưng khi nói đến hệ sinh thái Android. Tuy nhiên, vấn đề nằm ở chỗ hầu hết các bản tùy biến đều không chỉ chứa bloatware (phần mềm được nhà sản xuất cài đặt sẵn trên thiết bị), mà còn có đầy lỗi bảo mật.

Các nhà nghiên cứu đến từ công ty bảo mật Kryptowire mới đây đã phát hiện ra tổng cộng 146 lỗ hổng bảo mật trong các ứng dụng được cài đặt sẵn trên các bản Android tùy biến của 29 OEM (còn gọi là nhà sản xuất thiết bị gốc), bao gồm từ các lỗ hổng đơn giản như cài đặt ứng dụng trái phép, đến nghiêm trọng như khả năng sửa đổi trạng thái cài đặt hệ thống, và thậm chí là lén lút chụp ảnh màn hình, ghi âm cuộc gọi để gửi dữ liệu cho một bên thứ ba.

Đáng chú ý hơn, danh sách này còn chứa đựng các ứng dụng đến từ một số OEM nổi tiếng, sở hữu lượng người dùng đông đảo như Asus, Samsung và Xiaomi.

Từ năm ngoái, Google đã sử dụng một hệ thống có tên Build Test Suite (BTS) để quét các ứng dụng được cài đặt sẵn có hại trên những bản dựng Android tùy chỉnh cho các thiết bị đi kèm dịch vụ của mình. Nhưng bất chấp sự xuất hiện của các hàng rào kiểm tra bảo mật như vậy, ứng dụng độc hại vẫn tiếp tục lọt qua “khe cửa hẹp” và bằng chứng là nghiên cứu của các chuyên gia Kryptowire.

Có một điểm đáng lưu tâm, rất nhiều trong số các dụng chứa lỗ hổng bảo mật lại là của chính các OEM. Khi các ứng dụng của bên thứ ba được người dùng tải xuống bị phát hiện có chứa phần mềm độc hại, thì ít nhất vẫn có một biện pháp giải quyết: gỡ cài đặt. Nhưng với các ứng dụng được cài đặt sẵn của nhà sản xuất thì lại khác, người dùng sẽ không thể xóa được các ứng dụng này và đành chấp nhận “sống chung với lũ”.

Ngoài ra, không có gì đảm bảo rằng các OEM sẽ phát hành một bản vá bảo mật cho các ứng dụng này, và mọi chuyện sẽ tệ hơn đối với người dùng các thiết bị cũ, đã ngừng hỗ trợ.

Về phần mình, Google cũng đã rất cố gắng trong việc loại bỏ các ứng dụng có hại trên nền tảng của mình. Gã khổng lồ Mountain View mới đây đã hợp tác với 3 công ty bảo mật uy tín: ESET, Lookout và Zimperium để đẩy mạnh các biện pháp siết chặt hơn nữa đối với ứng dụng độc hại của bên thứ ba trước khi chúng có thể gây hại cho người dùng.

Có lẽ đã đến lúc áp dụng những quy trình kiểm soát nghiêm ngặt tương tự đối với ứng dụng do chính các OEM phát triển.