Hệ điều hành Android có thể dễ dàng bị tấn công là bởi tính bảo mật yếu kém và các nhà sản xuất thiết bị (hay còn gọi là OEMs) thậm chí còn khiến điều đó tệ hơn bằng việc không cung cấp các bản vá quan trọng kịp thời. Theo một nghiên cứu mới, hầu hết các nhà sản xuất điện thoại Android nói dối người dùng về các cập nhật bảo mật và bảo với khách hàng rằng điện thoại thông minh của họ đang chạy các bản cập nhật mới nhất.

Một nghiên cứu của Karsten Nohl và Jakob Lell thuộc Security Research Labs của Đức (SRL) tiết lộ: “Nói cách khác, hầu hết các nhà sản xuất điện thoại thông minh bao gồm các đối thủ lớn như Samsung, Xiaomi, OnePlus, Sony, HTC, LG và Huawei đều không cung cấp cho khách hàng các bản vá bảo mật quan trọng mà họ cần.”

Nohl và Lell đã kiểm tra tất cả các bản Patch Android được phát hành vào năm ngoái của 1.200 điện thoại thông minh từ rất nhiều nhà cung cấp và phát hiện ra rằng nhiều thiết bị có “patch gap”, dẫn đến việc để lộ các kẽ hở trong bảo mật của hệ điều hành Android.

Nohl cho biết trong một cuộc phỏng vấn với Wired, “Đôi khi những nhà sản xuất chỉ thay đổi ngày mà không cài đặt bất kỳ bản vá lỗi nào. Có lẽ vì các lý do tiếp thị, họ chỉ cần thiết lập mức vá lỗi gần như là vào một ngày tùy ý sao cho hợp lý”.

Google phát hành bản vá lỗi bảo mật vào mỗi tháng để giữ cho hệ điều hành Android an toàn và tránh khỏi các rủi ro tiềm ẩn. Nhưng vì mọi nhà sản xuất và nhà cung cấp dịch vụ di động đều sửa đổi hệ điều hành để làm cho điện thoại thông minh của mình trở nên khác biệt, nên họ thường thất bại trong việc cập nhật tất cả các bản vá lỗi kịp thời cho khách hàng.

Các nhà nghiên cứu SRL điều tra các điện thoại thông minh được cho là đã nhận và cài đặt các bản cập nhật Android mới nhất và đưa ra những phân tích sau đây về các phát hiện của họ:

  • Bỏ qua 0-1 các bản vá – Google, Sony, Samsung, Wiko Mobile
  • Bỏ qua 1-3 các bản vá – Xiaomi, OnePlus, Nokia
  • Bỏ qua 3-4 các bản vá – HTC, Huawei, LG, Motorola
  • Bỏ qua 4+ các bản vá – TCL, ZTE

Cụ thể, kết quả trên tập trung vào những bản vá bảo mật được phát hành vào năm 2017 cho các lỗ hổng nghiêm trọng.

Như đã trình bày ở trên, Google, Samsung, Wiko Mobile và Sony vẫn đang rất thành công trong việc cài đặt, cập nhật các bản vá lỗi, nhưng những hãng khác, đặc biệt là các nhà cung cấp Trung Quốc như Xiaomi và OnePlus thì tồi tệ hơn trong việc bảo vệ khách hàng của họ trước các lỗi bảo mật mới nhất.

Để giải quyết vấn đề về patch gap, Google đã đưa ra một dự án với tên gọi Treble, theo đó công ty đã mang lại một số thay đổi đáng kể cho kiến ​​trúc của hệ thống Android vào năm ngoái để có thể tham gia kiểm soát nhiều hơn quá trình cập nhật.

Các nhà sản xuất điện thoại Android nói dối về bản cập nhật bảo mật
Điểm khác biệt trước và sau khi có Treble

Dự án Treble là một phần của Android 8.0 Oreo và được thiết kế để tách mã phần cứng cốt lõi khỏi mã hệ điều hành, qua đó loại bỏ sự phụ thuộc OEMs để cung cấp các bản cập nhật cho Android nhanh hơn.

Tuy nhiên, ngay cả khi thiết bị Android của bạn chạy hệ điều hành Oreo 8.0 thì có thể nó không hỗ trợ dự án Treble vì điều đó vẫn phụ thuộc vào nhà sản xuất thiết bị. Ví dụ: cập nhật phần mềm Oreo cho thiết bị OnePlus không hỗ trợ Treble.

Nhưng các thiết bị mới sẽ được yêu cầu hỗ trợ Treble.

Kiểm tra ‘Patch Level’ của thiết bị bạn đang dùng

Trong khi đó, SRL đã phát triển một ứng dụng được gọi là SnoopSnitch mà bạn có thể tải xuống miễn phí để đo Patch Level của điện thoại thông minh Android và giúp bạn xác minh xem các nhà sản xuất điện thoại Android nói dối hay nói thật về tính bảo mật của thiết bị bạn đang dùng.