Gần 1 tỷ điện thoại Android có thể bị hack bởi một tin nhắn MMS

Theo Joshua Drake, nhà nghiên cứu bảo mật của Zimperium zLabs, 950 triệu điện thoại Android có thể gặp nguy hiểm, bị hacker tấn công chỉ với một đoạn tin nhắn đơn giản. Đây được đánh giá là một trong những lỗ hổng bảo mật lớn nhất trong lịch sử đối với một hệ điều hành di động. Cũng theo nhà nghiên cứu này, chỉ có những thiết bị chạy từ Android 2.2 trở xuống là không bị ảnh hưởng bởi lỗi bảo mật này.

Lỗ hổng bảo mật được phát hiện đang tồn tại trong Stagefright, một đoạn mã trên Android dùng để phát nội dung media trong tin nhắn MMS. Tất cả những gì hacker cần làm là gửi một tin nhắn MMS chứa lỗ hổng tới số điện thoại mà bạn đang dùng trên máy Android của mình. Bằng cách này, hacker có thể “cài cắm” các đoạn mã vào điện thoại và truy cập vào tất cả các thành phần mà Stagefright được cấp phép truy cập.

Drake trước đây đã từng thông báo cho Google về lỗ hổng hồi tháng 4/2015, đồng thời ông cũng gửi cho hãng tìm kiếm bản patch vá lỗi. “Về cơ bản, trong vòng 48 giờ tôi nhận được một email thông báo rằng họ chấp nhận tất cả các bản vá mà tôi gửi tới. Đó là một động thái đầy thiện chí của Google. Tuy nhiên, vấn đề là nền tảng Android luôn luôn gặp khó khăn trong việc cập nhật các bản vá, trừ khi cả nhà sản xuất điện thoại lẫn nhà mạng viễn thông hợp tác với nhau để cùng phát hành bản cập nhật cho người dùng”.

Adrian Ludwig, kỹ sư trưởng bộ phận Android Security của Google, cho biết: “lỗ hổng bảo mật này được đánh giá là 'nghiêm trọng'. Google đã thông báo cho các đối tác và đã gửi một bản vá lỗi tới các nhà sản xuất smartphone sử dụng Android, tuy nhiên, việc nhà sản xuất có phát hành nó cho người dùng hay không thì Google không thể quyết định được”.

Đây là một thực tế đang tồn tại dai dẳng ở nền tảng Android. Hệ điều hành này do Google phát triển, nhưng việc cập nhật nó lại nằm trong tay các hãng sản xuất smartphone – những công ty chú trọng tới việc bán thiết bị mới hơn là dành thời gian, nguồn lực để hỗ trợ các thiết bị đời cũ chạy các phiên bản Android không phải là mới nhất. Đó là chưa kể mỗi nhà sản xuất Android lại có tới hàng tá model khác nhau, nên chi phí cho mỗi lần cập nhật là rất tốn kém, mất thời gian.

Thị phần Android

Theo thống kê của trang developer.android.com, tính đến 1/6/2015, Android 4.4 (KitKat) hiện đang là phiên bản Android phổ biến nhất hiện nay, với 39% thị phần. Đứng thứ hai là Android 4.2 Jelly Bean với 17,5%, và tiếp theo là Android 4.1 Jelly Bean với 14,7%. Android 5.0 và 5.1 Lollipop, hai phiên bản Android gần đây nhất, chỉ chiếm lần lượt 11,6 và 0,8% thị phần. Đó mới chỉ là thống kê chung về riêng Android. Sau khi đến tay từng nhà sản xuất như Samsung, Sony, LG, Motorola, ZTE, Huawei, HTC… sự phân mảnh của nền tảng này còn lớn hơn khiến cho việc vá lỗi trở nên khó khăn, phức tạp. Collin Mulliner, nhà nghiên cứu cấp cao của trường đại học Northeastern, cho biết trong một cuộc phỏng vấn: “Trong trường hợp này, Google không phải là cái tên duy nhất đáng bị chỉ trích; đó còn là cả nhà sản xuất, và có thể là cả nhà mạng viễn thông. Nếu có thể tiết kiệm được ít tiền bạc từ việc không phát hành các bản cập nhật phần mềm, nhà sản xuất có thể sẵn sàng làm điều đó. Hơn nữa, thị trường di động đang phát triển nhanh, và nhiều hãng smartphone cho rằng việc tốn nguồn lực các bản update chẳng mang lại lợi ích gì”.

Google hiện chưa có bình luận gì liên quan tới lỗ hổng bảo mật này.