Các nhà sản xuất điện thoại Android đang che dấu sự thật về bản cập nhật an ninh

13:40 | 04/05/2018

Hệ sinh thái Android khá phân mảnh về mặt an ninh khiến các nhà sản xuất thiết bị gặp khó khăn trong việc cung cấp các bản vá quan trọng kịp thời.

Theo một nghiên cứu mới đây, phần lớn các nhà cung cấp đang lừa dối người dùng về các bản vá an ninh khi nói rằng điện thoại của họ đang được chạy bản cập nhật mới nhất. Chuyên gia nghiên cứu của công ty an ninh Security Research Labs (SRL- Đức) tiết lộ, phần lớn các hãng có tên tuổi như: Samsung, Xiaomi, OnePlus, Sony, HTC, LG và Huawei đều không cung cấp các bản cập nhật an ninh như người dùng trông đợi.

Nohl và Lell đã kiểm tra firmware của 1.200 loại điện thoại thông minh từ các nhà cung cấp, đối chiếu với các bản vá Android được công bố năm 2017 và phát hiện rằng, rất nhiều thiết bị không cập nhật bản vá thường xuyên khiến người dùng bị tin tặc đe doạ.

Google cung cấp các bản vá an ninh hàng tháng để đảm bảo an ninh cho Android và ngăn chặn những nguy cơ rủi ro, nhưng vì mỗi nhà sản xuất và công ty viễn thông chỉnh sửa hệ điều hành để tạo sự khác biệt cho dòng điện thoại thông minh của họ, nên không thể áp dụng các vản vá kịp thời.

Các nhà nghiên cứu của SRL đã xem xét kỹ các điện thoại thông minh được cho là cài đặt bản cập nhật mới nhất của Android và công bố kết quả như sau:

  • Thiếu 1 bản vá: Google, Sony, Samsung, Wiko Mobile
  • Thiếu 1 - 3 bản vá: Xiaomi, OnePlus, Nokia
  • Thiếu 3 - 4 bản vá: HTC, Huawei, LG, Motorola
  • Thiếu hơn 4 bản vá: TCL, ZTE

Kết quả trên chỉ tập trung vào các bản vá an ninh được xếp ở mức nghiêm trọng (Critical) và cao (High) được phát hành trong năm 2017.

Để giải quyết vấn đề nhà cung cấp không cập nhật kịp các bản vá, Google đã đưa ra dự án Treble, thay đổi đáng kể kiến trúc của hệ thống Android.

Dự án Treble là một phần của phiên bản Android 8.0 Oreo, được thiết kế để phân tách những mã lệnh lõi cho phần cứng với mã lệnh của hệ điều hành, nhờ đó không bị phụ thuộc của các nhà sản xuất thiết bị, giúp họ cung cấp bản cập nhật cho Android nhanh hơn. Tuy nhiên, thiết bị chạy phiên bản Oreo 8.0 có thể cũng chưa được hỗ trợ Treble, vì việc này phụ thuộc vào nhà sản xuất thiết bị. Chẳng hạn như bản cập nhật firmware Oreo cho các thiết bị OnePlus vẫn chưa hỗ trợ Treble.

SRL đã phát triển ứng dụng có tên là SnoopSnitch cho phép mọi người tải xuống miễn phí để kiểm tra mức vá của điện thoại thông minh chạy Android, giúp người dùng kiểm tra những tuyên bố của nhà cung cấp về mức độ an ninh của thiết bị.