Đa số các mẫu smartphone hiện nay đều sử dụng hệ điều hành Android được tùy biến lại. Cụ thể, nhà sản xuất thiết bị sẽ thiết kế lại giao diện và cài đặt thêm hàng tá ứng dụng riêng trên điện thoại (hay còn gọi là bloatware), tuy nhiên chúng không thật sự hữu ích mà đôi khi còn khiến người dùng dễ bị tấn công.
Mới đây, Kryptowire đã tìm thấy hơn 146 ứng dụng có chứa lỗ hổng bảo mật trên điện thoại của 29 nhà sản xuất khác nhau, trong đó có rất nhiều tên tuổi phổ biến hiện nay (hầu hết đều là những công ty ở châu Á).
Danh sách các nhà sản xuất điện thoại bị ảnh hưởng. Ảnh: Kryptowire
Những lỗ hổng này cho phép kẻ gian sử dụng micro trên điện thoại, tự động thay đổi quyền hạn hoặc âm thầm gửi dữ liệu riêng tư về máy chủ từ xa mà không cần người dùng đồng ý.
Google có quy trình kiểm tra riêng của mình, được gọi là Build Test Suite (BTS), dùng để kiểm tra các ứng dụng được cài đặt sẵn trên điện thoại. BTS được ra mắt vào năm 2018 và trong năm đầu tiên đã ngăn chặn 242 lượt cài đặt có vấn đề trước khi sản phẩm đến tay người tiêu dùng.
Theo Maddie Stone, một nhà nghiên cứu bảo mật của Google: “Mỗi thiết bị Android thường có 100-400 ứng dụng được cài đặt sẵn, phần nhiều trong số đó đều là ứng dụng của các công ty thứ ba.
Thông thường, nhà sản xuất thiết bị sẽ không đủ khả năng để phân tích và kiểm tra lỗ hổng trên các ứng dụng, do đó đối tượng chịu thiệt thòi cuối cùng vẫn là người tiêu dùng”.
Kryptowire tiết lộ 33 lỗ hổng trên các thiết bị của Samsung, xuất phát từ sáu ứng dụng được cài đặt sẵn. Hai trong số sáu ứng dụng được phát triển bởi các đối tác bên ngoài, đối với các ứng dụng còn lại, Samsung cho biết đã nhanh chóng triển khai các biện pháp bảo vệ phù hợp.
Ngoài dòng Pixel của Google được cập nhật bảo mật thường xuyên thì đa số các nhà sản xuất khác làm việc này rất chậm.
Bạn đọc quan tâm có thể theo dõi danh sách các thiết bị dính lỗ hổng tại địa chỉ https://www.kryptowire.com/android-firmware-2019/.