Các nhà sản xuất điện thoại Android đang nói dối về các bản cập nhật an ninh

WhiteHat News #ID:2018

WhiteHat News #ID:2018

WhiteHat Support
20/03/2017
129
443 bài viết
Các nhà sản xuất điện thoại Android đang nói dối về các bản cập nhật an ninh
WhiteHat News #ID:2018
android-security-update.png
Mức độ an ninh của hệ sinh thái Android rất kém và các nhà sản xuất thiết bị gốc (OEM) thậm chí còn khiến vấn đề tệ hơn vì không cung cấp được các bản vá lỗ hổng nghiêm trọng đúng thời điểm.

Theo nghiên cứu gần đây, các nhà cung cấp Android đang nói dối người dùng về các bản cập nhật an ninh và nói với khách hàng điện thoại của họ đang cập nhật bản mới nhất.

Tuy nhiên, theo nghiên cứu từ hãng an ninh của Đức Security Research Labs (SRL), các nhà sản xuất smartphone bao gồm cả những tên tuổi lớn như Samsung, Xiaomi, OnePlus, Sony, HTC, LG và Huawei đều không cung cấp đầy đủ bản vá cho các lỗi nghiêm trọng.

Hai nhà nghiên cứu Nohl và Lell đã kiểm tra firmware của 1.200 smartphone từ một loạt nhà cung cấp, trên mọi bản vá Android được phát hành năm ngoái và thấy rằng nhiều thiết bị có “lỗ hổng trong bản vá” để lộ nhiều phần trong hệ sinh thái Android đến hacker.

Nohl cho biết: “Một số nhà cung cấp chỉ thay đổi ngày mà không cập nhật bất kỳ bản vá nào. Có lẽ vì lý do tiếp thị, họ chỉ thiết lập mức độ bản vá vào một ngày tuỳ ý, khiến bản vá này được xem là tốt nhất”.

Google phát hành bản vá an ninh hàng tháng giúp cho hệ sinh thái Android của mình được an toàn và bảo mật từ các nguy cơ tiềm ẩn, nhưng vì mỗi nhà sản xuất và nhà mạng sửa đổi hệ điều hành để khiến smartphone của mình thành độc nhất, họ thường không áp dụng tất cả các bản vá một cách kịp thời.

SRL đã nghiên cứu các smartphone được cho là đã cập nhật phiên bản Android mới nhất và đưa ra thống kê như sau:
  • Thiếu từ 0-1 bản vá gồm có Google, Sony, Samsung, Wiko
  • Thiếu từ 1-3 bản vá gồm có Xiaomi, OnePlus, Nokia
  • Thiếu từ 3-4 bản vá gồm có HTC, Huawei, LG, Motorola
  • Thiếu từ 4 bản vá trở lên gồm có TCL, ZTE
Đặc biệt, kết quả ở trên tập trung vào bản vá ở mức độ nghiêm trọng và cao được phát hành vào năm 2017.

Google, Samsung, Wiko và Sony đang xử lý tốt các bản vá, nhưng những hãng khác, đặc biệt là những nhà cung cấp đến từ Trung Quốc như Xiaomi và OnePlus là tệ nhất trong việc bảo vệ khách hàng của mình khỏi các lỗ hổng an ninh mới nhất.

Để xử lý vấn đề thiếu hụt bản vá, Google đã thành lập một dự án tên là Treble và mang đến những thay đổi đáng kể cho kiến trúc hệ điều hành Android nhằm tăng quyền kiểm soát với quá trình cập nhật.

google-android-treble.png

Project Treble là một phần của Android 8.0 Oreo, được thiết kế để tách code trong core hardware khỏi code của hệ điều hành, loại bỏ sự phụ thuộc vào các OEM (nhà sản xuất thiết bị gốc) để phân phối các bản cập nhật Android nhanh hơn.

Tuy nhiên, cho dù smartphone của bạn đang chạy Android 8.0, thiết bị của bạn chưa chắc đã hỗ trợ Treble. Việc quyết định hỗ trợ Treble hay không vẫn tùy thuộc vào nhà sản xuất, ví dụ như OnePlus chưa hỗ trợ Treble.

Các thiết bị mới sẽ bắt buộc phải hỗ trợ Treble.
Theo The Hacker News
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Apple vá các lỗ hổng zero-day đang bị khai thác trong tháng 11
  • Các bộ công cụ ML tồn tại lỗ hổng cho phép chiếm quyền máy chủ, leo thang đặc quyền
  • Lỗ hổng trong Cisco cho phép tin tặc chạy lệnh root trên các điểm truy cập URWB
  • Người dùng camera PTZ hãy cẩn thận với các lỗ hổng zero-day
  • Phát hiện các lỗ hổng XSS tồn tại trong plugin WordPress LiteSpeed Cache
  • Phát hiện phần mềm gián điệp Mandrake mới trong các ứng dụng trên Google Play Store
    • Thẻ
    android treble
    Bên trên