Theo Check Point, có rất nhiều ứng dụng Android bị dính lỗ hổng, đơn cử như Yahoo Browser, Facebook (và Messenger), AliExpress, SHAREit và WeChat.
Lỗ hổng CVE-2014-8962, CVE-2015-8271 và CVE-2016-3062 ảnh hưởng đến thư viện phát lại âm thanh và video, cho phép kẻ tấn công thực thi mã tùy ý.
Hai nhà nghiên cứu Artyom Skrobov và Slava Makkaveev cho biết các nhà phát triển ứng dụng di động thường sử dụng những thành phần có sẵn (hay còn gọi là thư viện) để xây dựng một tính năng cụ thể. Tuy nhiên, các thư viện nguồn mở thường chứa khá nhiều lỗ hổng.
“Instagram không bị ảnh hưởng bởi lỗ hổng CVE-2016-3062, chúng tôi đã sửa lỗi trước khi nó được phát hành. Các dịch vụ của Facebook không bị ảnh hưởng bởi bất kỳ lỗ hổng nào do Check Point đưa ra” - một phát ngôn của Facebook cho biết.
Với tư cách là người dùng thông thường, bạn không thể làm gì để giữ an toàn cho thiết bị, vì những lỗi này vẫn có thể tồn tại ngay cả khi chúng được cập nhật lên phiên bản mới nhất.
Trước đó không lâu, công ty bảo mật Kryptowire đã phát hiện hơn 146 ứng dụng được cài sẵn trên các dòng điện thoại Asus, Coolpad, Haier, Infinix… dính lỗ hổng bảo mật.
Những lỗ hổng này cho phép kẻ gian sử dụng micro trên điện thoại, tự động thay đổi quyền hạn hoặc âm thầm gửi dữ liệu riêng tư về máy chủ từ xa mà không cần người dùng đồng ý.
Google có quy trình kiểm tra riêng của mình, được gọi là Build Test Suite (BTS), dùng để kiểm tra các ứng dụng được cài đặt sẵn trên điện thoại. BTS được ra mắt vào năm 2018 và trong năm đầu tiên đã ngăn chặn 242 lượt cài đặt có vấn đề trước khi sản phẩm đến tay người tiêu dùng.
Theo Maddie Stone, một nhà nghiên cứu bảo mật của Google: “Mỗi thiết bị Android thường có 100-400 ứng dụng được cài đặt sẵn, phần nhiều trong đó đều là ứng dụng của các công ty thứ ba”.
Ngoài dòng Pixel của Google được cập nhật bảo mật thường xuyên thì đa số các nhà sản xuất khác làm việc này rất chậm.