Phát hiện nhà sản xuất điện thoại nổi tiếng nói dối người dùng về cập nhật bảo mật

Các nhà cung cấp điện thoại Android đã nói dối người dùng về vấn đề cập nhật bảo mật và thường xuyên bịa đặt với khách hàng rằng sản phẩm của họ đang khởi chạy bản cập nhật mới nhất hiện nay.

Hệ điều hành Android là một trong những hệ điều hành được sử dụng nhiều nhất hiện nay và cũng là hệ điều hành di động bị tấn công nhiều nhất trong thời gian qua. Do đó việc thường xuyên cung cấp các bản vá bảo mật để bảo vệ người dùng là một trong những việc làm hết sức quan trọng của nhà sản xuất điện thoại.

Thế nhưng trong một nghiên cứu mới đây, đa số các nhà cung cấp điện thoại Android đã nói dối người dùng về vấn đề cập nhật bảo mật và thường xuyên bịa đặt với khách hàng rằng sản phẩm của họ đang khởi chạy bản cập nhật mới nhất hiện nay.

 Nói cách khác, điều này đồng nghĩa với việc hầu hết các nhà sản xuất điện thoại thông minh trong đó có những ông lớn trong ngành như : Samsung, Xiaomi, OnePlus, Sony, HTC, LG và Huawei đều không cung cấp đầy đủ bản vá bảo mật quan trọng cần thiết cho người dùng. Thông tin này được tiết lộ bởi một nghiên cứu của Karsten Nohl và Jakob Lell về an ninh của công ty bảo mật Research Labs Đức.

Nohl và Lell đã kiểm tra phần mềm của 1200 điện thoại thông minh từ nhiều nhà cung cấp khác nhau, với tất cả bản vá Android được phát hành trong năm ngoái và phát hiện ra rằng nhiều thiết bị đều có bản vá cách khá xa, để lại nhiều phần của hệ sinh thái Android phải đối mặt với nguy cơ tấn công bởi tin tặc.

Ông cho biết: “Rất có thể những nhà sản xuất này chỉ thay đổi ngày mà không tiến hành cài đăt bất kỳ bản vá lỗi nào. Có lẽ là do các lý do tiếp thị mà họ chỉ thiết lập các ngày tùy ý cho bản vá bất kể bản vá này có sửa được lỗi bảo mật cho người dùng hay không”.

Google đã phát hành nhiều bản vá lỗi bảo mật mỗi tháng nhằm giữ cho hệ điều hành Android được an toàn khỏi các rủi ro tiềm ẩn đang phát triển nhanh chóng trong thời điểm hiện nay, nhưng vì các nhà sản xuất và các nhà dịch vụ di động đều muốn sửa đổi hệ điều hành của mình để khiến cho sản phẩm của mình trở nên độc đáo và duy nhất trên thị trường, do đó họ thường không áp dụng tất cả các bản vá lỗi này.

Nhà nghiên cứu đã được cho là nhận được và cài đặt tất cả các bản cập nhất mới nhất của Android trên thiết bị và phát hiện những phân tích sau đây:

Google, Sony, Samsung, Wiko Mobile thiếu từ 0 – 1 bản vá lỗi bảo mật

Xiaomi, OnePlus, Nokia thiếu từ 1 – 3 bản vá lỗi bảo mật

HTC, Huawei, LG, Motorola thiếu từ 3 – 4 bản vá lỗi bảo mật

TCL, ZTE thiếu nhiều hơn 4 bản vá lỗi bảo mật.

Kết quả tập trung vào các bản vá bảo mật quan trọng và đã phát hành vào năm 2017.

Qua đó ta có thể thấy, Google, Sony, Samsung, Wiko Mobile vẫn đang làm rất tốt việc cập nhật và cài đặt các bản vá lỗi, nhưng các hãng điện thoại khác, đặc biệt là các hãng sản xuất điện thoại Trung Quốc thì trì trệ trong việc bảo vệ khách hàng của họ trước các lỗi bảo mật mới nhất hiện nay.

Để cải thiện vấn đề này, Google đã phát hành dự án với tên gọi Treble theo đó công ty mang lại nhiều thay đổi đáng kể cho hạ tầng kiến trúc hệ thống Android vào năm ngoái để kiểm soát quá trình cập nhật tốt hơn.

Dự án này đã được tích hợp trong Android 8.0 Oreo và được thiết kế để tách mã phần cứng cốt lõi khỏi mã hệ điều hành, loại bỏ những phụ thuộc vào OEMs để cung cấp bản cập nhật cho Android nhanh hơn.

THế nhưng ngay cả khi điện thoại chạy Android 8.0 đi nữa thì không hẳn nó đã hỗ trợ Treble bởi nó còn phụ thuộc vào nhà sản xuất điện thoại để khởi chạy.

Nhưng các thiết bị mới sẽ được yêu cầu hỗ trợ Treble từ nay về sau.

Hiên SRL đã phát triển một ứng dụng mang tên SnoopSnitch miễn phí, cho phép bạn đo được thiết bị đã vá lỗi bảo mật như thế nào, qua đó biết được nhà cung cấp điện thoại của bạn có đang nói dối về tính bảo mật trên thiết bị hay không.

Minh Hương