Theo những dữ liệu được hãng nghiên cứu bảo mật Đức Security Research Lab (SRL) thu thập suốt 2 năm qua, nhiều hãng sản xuất điện thoại Android lâu nay đều không trung thực trong việc cập nhật các bản vá bảo mật, khiến những chiếc máy không được bảo vệ. Trong khi đó, người dùng vẫn “hồn nhiên” tin rằng mình được an toàn.
Thực tế, ít ai biết rằng Google thường xuyên tung ra các bản vá bảo mật (security patch) cho nền tảng Android theo định kỳ mỗi tháng một lần, đồng thời cung cấp cả cơ chế giúp người dùng theo dõi liệu chiếc máy mình đang dùng đã được cập nhật tới phiên bản nào (trong Settings). Tuy nhiên, ngay cả ở mục này, người dùng một lần nữa cũng lại bị lừa dối, nhưng lỗi không nằm ở Google.
Nhiều máy Android thực tế không cập nhật bảo mật đầy đủ như hiển thị trong hệ điều hành. |
Trong thống kê của mình, các nhà nghiên cứu của SRL đã xem xét 12.000 chiếc máy đến từ hàng loạt các nhà sản xuất tên tuổi như HTC, Samsung, Motorola, Google, LG... Những dữ liệu thu thập được cho thấy một số lượng lớn cập nhật chậm hơn so với Google nhiều lần, thậm chí không hề được cung cấp một bản vá nào kể từ khi sản xuất.
Cụ thể, trong khi Google Pixel 2 được cập nhật rất kịp thời (không lạ khi đây là một chiếc điện thoại của chính nhà phát triển Android), các sản phẩm của Samsung hay Sony lại không như vậy và đều có hiện tượng công bố đã phát hành bản vá bảo mật mới nhất dù thực tế chưa hề cập nhật. Một ví dụ là Samsung J3 2016 tuy được công bố đã có đủ các bản vá bảo mật Android mà Google phát hành trong năm 2017, nhưng thực tế thiếu tới 12 trong số này, gồm cả 2 bản vá quan trọng (critical).
Tuy nhiên, tình hình lại khá hơn với phiên bản J5 2016, khi có đủ các bản vá nêu ra. Tương tự như vậy, điện thoại của Nokia hay Android thường thiếu 1-3 bản vá/năm, trong khi HTC, Motorola, LG thiếu 3-4 bản vá, dù vẫn công bố đã cập nhật đầy đủ trước người tiêu dùng.
Qua đó, SRL nhận định, tình trạng thiếu hụt bản vá diễn ra ít với các thương hiệu tên tuổi, nhưng với các dòng máy giá rẻ như TCL hay ZTE (Trung Quốc), tình hình “thực sự là một thảm họa”. Thậm chí, một số nhà sản xuất còn chẳng thèm quan tâm tới việc cập nhật bảo mật, nhưng vẫn đẩy ngày hiển thị lên mới nhất để phục vụ mục đích tiếp thị. Điều này rất nguy hiểm nếu các chủ máy luôn tự tin rằng máy được bảo mật, và lưu nhiều thông tin nhạy cảm lên đó. Đây là thực trạng hết sức nguy hiểm, trong bối cảnh các phần mềm gây hại và những mối đe dọa bảo mật đang tăng nhanh trong thời gian qua.
Theo dự kiến, nghiên cứu nói trên của SRL sẽ được hai nhà nghiên cứu Karsten Nohl và Jakob Lell công bố trong hội thảo bảo mật Hack in the Box diễn ra hôm nay (13-4) tại Amsterdam (Hà Lan).