60% lỗ hổng bảo mật trên smartphone Android bắt nguồn từ nhà sản xuất
Nền tảng Android đang dân trở thành “mồi ngon” cho tin tặc với rất nhiều loại mã độc và hàng loạt lỗ hổng bảo mật được phát hiện. Tuy nhiên, một thực tế ít ai ngờ rằng phần lớn lỗ hổng bảo mật trên nền tảng này có nguồn gốc từ chính các hãng sản xuất smartphone.
Môi trường mở trên nền tảng Android của Google đồng nghĩa với việc các hãng sản xuất điện thoại có thể tùy biến và thêm bớt các lớp phần mềm trước khi trang bị nền tảng này cho chiếc điện thoại của mình, giúp cho mỗi hãng sản xuất điện thoại có những sự khác biệt về giao diện lẫn tính năng. Tuy nhiên, theo một cuộc nghiên cứu gần đây cho thấy chính những điều này góp phần làm cho nền tảng Android trở nên dễ bị xâm nhập và tấn công bởi hacker.
Theo cuộc nghiên cứu vừa được tiến hành bởi các nhà khoa học máy tính tại trường đại học bang Bắc Carolina (Mỹ) thì chính sự thay đổi của các hãng sản xuất điện thoại tiến hành trên nền tảng Android gốc chịu trách nhiệm cho hơn 60% các lỗ hổng bảo mật được phát hiện trên smartphone của nhiều hãng sản xuất khác nhau.
Áp lực chạy đua giữa các hãng sản xuất smartphone trên thị trường khiến vấn đề bảo mật ít được quan tâm
Trong nghiên cứu của mình, các nhà khoa học đã sử dụng 10 chiếc smartphone sử dụng Android, 5 trong số đó sử dụng biến thể thứ 4 của Android (từ phiên bản Android 4.0 trở lên), 5 chiếc còn lại sử dụng Android ở thế hệ thứ 2 (phiên bản từ 2.3 trở xuống, phiên bản 3.0 vốn chỉ dành cho máy tính bảng).
Các nhà nghiên cứu đã sử dụng những chiếc smartphone của Samsung, HTC, LG và Sony, bao gồm những mẫu smartphone phổ biến như Galaxy S3 và HTC One X, cùng với 2 chiếc smartphone thuộc thương hiệu Google (Nexus S và Nexus 4, được sản xuất bởi Samsung và LG). Nexus S và Nexus 4 là 2 chiếc smartphone được cài đặt nền tảng Android gốc, nên được sử dụng như một hệ quy chiếu để so sánh với các smartphone được cài đặt Android biến thể của các hãng sản xuất.
Để tìm hiểu những lỗ hổng bảo mật trên Android có nguồn gốc từ đâu, các nhà nghiên cứu đã phân chia các ứng dụng trên smartphone ra thành 3 phân mục khác nhau, bao gồm những ứng dụng gốc sẵn có trên Android, những ứng dụng được tạo ra bởi các hãng sản xuất và những ứng dụng từ bên thứ 3 (cài đặt thêm trong quá trình sử dụng).
Sau đó các nhà nghiên cứu nhìn vào các dữ liệu và những quyền hạn mà các ứng dụng muốn sử dụng, ví dụ khả năng truy cập hình ảnh hay truy cập vào danh bạ của người dùng… để từ đó phát hiện ra những ứng dụng nào yêu cầu những quyền hạn mà chúng không thực sự cần dùng đến. Những ứng dụng nào với nhiều quyền hạn hơn chúng cần sẽ ẩn chứa các vấn đề bảo mật vì có thể chứa các thông tin cá nhân của người dùng và các thông tin này có thể bị đánh cắp nếu những ứng dụng đó bị hacker tấn công.
Các nhà nghiên cứu đã phát hiện ra rằng 86% những ứng dụng được cài đặt sẵn trên smartphone yêu cầu nhiều quyền hạn hơn mức cần thiết và phần lớn những ứng dụng này chủ yếu được thêm vào smartphone bởi chính các hãng sản xuất điện thoại như một phần trong quá trình tùy biến Android của họ. Bởi vì chúng được tích hợp sẵn trong quá trình phát triển nên những ứng dụng của các hãng sản xuất smartphone có nhiều quyền truy cập hơn so với các ứng dụng được cài đặt thêm từ bên ngoài trong quá trình sử dụng.
Các nhà nghiên cứu cũng chi ra rằng những ứng dụng sử dụng nhiều quyền hạn hơn mức cho phép có thể làm những điều mà người dùng không hay biết hoặc có thể chia sẻ dữ liệu nhạy cảm của người dùng mà họ không hay biết. Những ứng dụng này sẽ trở thành “trợ thủ đắc lực” cho các hacker khi smartphone bị tấn công.
Nhìn chung, trong tổng số 177 lỗ hổng bảo mật trên smartphone của Samsung, HTC và LG có 65 đến 85% lỗ hổng bảo mật bắt nguồn từ các tùy chỉnh do các nhà sản xuất, 38% trong tổng số 16 điểm yếu trên smartphone của Sony bắt nguồn từ lý do tương tự.
Theo chia sẻ của Xuxian Jiang, Giáo sư của trường Đại học Bắc Carolina, một trong những người tham gia nghiên cứu và là một chuyên gia về mã độc trên di động, kết quả của cuộc nghiên cứu cho thấy các hãng sản xuất smartphone đang thiếu nghiêm túc trong vấn đề bảo mật, mà lý do chính là việc áp lực trong việc nhanh chóng tung ra các tính năng mới trên sản phẩm của mình ra thị trường để có thể cạnh tranh với các đối thủ.
Jiang hy vọng rằng kết quả của cuộc nghiên cứu như một hồi cuông cảnh tỉnh cho các hãng sản xuất smartphone để tâm hơn đến vấn đề bảo mật trên sản phẩm của mình.
“Hy vọng thế hệ điện thoại mới sẽ trở nên an toàn hơn”, Jiang chia sẻ.
Mặc dù đã phản ánh kết quả nghiên cứu của mình đến các nhà sản xuất smartphone và Google, tuy nhiên các nhà nghiên cứu cho biết họ chưa nhận được phản hồi nào.
T.Thủy / (vtc.vn)