Các nhà sản xuất điện thoại Android đang nói dối về các bản cập nhật an ninh

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi WhiteHat News #ID:2018, 16/04/18, 01:04 PM.

  1. WhiteHat News #ID:2018

    WhiteHat News #ID:2018 WhiteHat Support

    Tham gia: 20/03/17, 10:03 AM
    Bài viết: 119
    Đã được thích: 29
    Điểm thành tích:
    28
    android-security-update.png
    Mức độ an ninh của hệ sinh thái Android rất kém và các nhà sản xuất thiết bị gốc (OEM) thậm chí còn khiến vấn đề tệ hơn vì không cung cấp được các bản vá lỗ hổng nghiêm trọng đúng thời điểm.

    Theo nghiên cứu gần đây, các nhà cung cấp Android đang nói dối người dùng về các bản cập nhật an ninh và nói với khách hàng điện thoại của họ đang cập nhật bản mới nhất.

    Tuy nhiên, theo nghiên cứu từ hãng an ninh của Đức Security Research Labs (SRL), các nhà sản xuất smartphone bao gồm cả những tên tuổi lớn như Samsung, Xiaomi, OnePlus, Sony, HTC, LG và Huawei đều không cung cấp đầy đủ bản vá cho các lỗi nghiêm trọng.

    Hai nhà nghiên cứu Nohl và Lell đã kiểm tra firmware của 1.200 smartphone từ một loạt nhà cung cấp, trên mọi bản vá Android được phát hành năm ngoái và thấy rằng nhiều thiết bị có “lỗ hổng trong bản vá” để lộ nhiều phần trong hệ sinh thái Android đến hacker.

    Nohl cho biết: “Một số nhà cung cấp chỉ thay đổi ngày mà không cập nhật bất kỳ bản vá nào. Có lẽ vì lý do tiếp thị, họ chỉ thiết lập mức độ bản vá vào một ngày tuỳ ý, khiến bản vá này được xem là tốt nhất”.

    Google phát hành bản vá an ninh hàng tháng giúp cho hệ sinh thái Android của mình được an toàn và bảo mật từ các nguy cơ tiềm ẩn, nhưng vì mỗi nhà sản xuất và nhà mạng sửa đổi hệ điều hành để khiến smartphone của mình thành độc nhất, họ thường không áp dụng tất cả các bản vá một cách kịp thời.

    SRL đã nghiên cứu các smartphone được cho là đã cập nhật phiên bản Android mới nhất và đưa ra thống kê như sau:
    • Thiếu từ 0-1 bản vá gồm có Google, Sony, Samsung, Wiko
    • Thiếu từ 1-3 bản vá gồm có Xiaomi, OnePlus, Nokia
    • Thiếu từ 3-4 bản vá gồm có HTC, Huawei, LG, Motorola
    • Thiếu từ 4 bản vá trở lên gồm có TCL, ZTE
    Đặc biệt, kết quả ở trên tập trung vào bản vá ở mức độ nghiêm trọng và cao được phát hành vào năm 2017.

    Google, Samsung, Wiko và Sony đang xử lý tốt các bản vá, nhưng những hãng khác, đặc biệt là những nhà cung cấp đến từ Trung Quốc như Xiaomi và OnePlus là tệ nhất trong việc bảo vệ khách hàng của mình khỏi các lỗ hổng an ninh mới nhất.

    Để xử lý vấn đề thiếu hụt bản vá, Google đã thành lập một dự án tên là Treble và mang đến những thay đổi đáng kể cho kiến trúc hệ điều hành Android nhằm tăng quyền kiểm soát với quá trình cập nhật.

    google-android-treble.png

    Project Treble là một phần của Android 8.0 Oreo, được thiết kế để tách code trong core hardware khỏi code của hệ điều hành, loại bỏ sự phụ thuộc vào các OEM (nhà sản xuất thiết bị gốc) để phân phối các bản cập nhật Android nhanh hơn.

    Tuy nhiên, cho dù smartphone của bạn đang chạy Android 8.0, thiết bị của bạn chưa chắc đã hỗ trợ Treble. Việc quyết định hỗ trợ Treble hay không vẫn tùy thuộc vào nhà sản xuất, ví dụ như OnePlus chưa hỗ trợ Treble.

    Các thiết bị mới sẽ bắt buộc phải hỗ trợ Treble.
    Theo The Hacker News
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Tags: