Thông thường, sự cố bảo mật xảy ra trên smartphone xuất phát từ thói quen sử dụng của người dùng. Bạn click vào một đường link dẫn tới trang web chứa mã độc, hoặc lỡ cài đặt một phần mềm tải về từ nguồn bên thứ ba không qua kiểm duyệt. Song đối với hàng triệu thiết bị Android đang bày bán ngoài kia, lỗ hổng bảo mật rất có thể đã được…cài sẵn vào điện thoại ngay từ thời điểm xuất xưởng, nằm sâu trong firmware và sẵn sàng kích hoạt khi đến tay người dùng. Hóa ra, tình trạng này là kết quả của sự kết hợp thiếu tính toán giữa nhà mạng phát hành điện thoại và nhà sản xuất thiết bị.
Trên đây là những chi tiết quan trọng nhất từ cuộc điều tra phân tích tiến hành bởi công ty an ninh mạng Kryptowire. Theo đó, Kryptowire đã liệt kê chi tiết rất nhiều bug được cài sẵn trên 10 mẫu smartphone bán ra trên khắp nước Mỹ bởi các nhà mạng lớn của nước này. CEO Krytowire Angelos Stavrou cùng Giám đốc nghiên cứu Ryan Johnson đã thuyết trình nghiên cứu của mình tại Hội thảo An ninh mạng Black Hat được Bộ Nội an Hoa Kỳ tài trợ thứ Sáu 10/8 vừa rồi.
Các lỗ hổng bảo mật trên được xếp vào nhiều mức độ nghiêm trọng khác nhau, từ đơn giản là khóa máy không cho phép truy cập thiết bị đến phức tạp hơn như bí mật truy cập các tính năng nhạy cảm bao gồm camera và microphone. Song điều tồi tệ nhất nằm ở chỗ: Chúng sẽ không biến mất.
Kỳ thực, những lỗ hổng nghiêm trọng này là hậu quả của một hệ điều hành Android mở, vốn dĩ cho phép các công ty ứng dụng bên thứ ba điều chỉnh mã nguồn tùy theo ý thích. Đây chính là điều làm đau đầu các nhà nghiên cứu an ninh mạng, bao gồm trong đó cả việc các hãng có thời gian cập nhật phần mềm bảo mật khác nhau, thường là chậm hơn từ một đến vài tháng so với Android gốc. Nhưng nguy hiểm hơn vẫn là các lỗ hổng bảo mật đã đề cập, bởi chúng có thể được “tiêm” thẳng vào firmware thiết bị và có mặt trên smartphone từ những giây phút đầu tiên máy lên kệ.
“Vấn đề sẽ không đi đâu cả, bởi rất nhiều bên trong chuỗi cung ứng muốn thêm vào thiết bị những ứng dụng, tùy biến của riêng mình, và từ đó họ thay đổi mã nguồn cũng như thêm vào mã tự tay mình viết. Việc này sẽ làm tăng khả năng điện thoại bị tấn công cũng như gặp lỗi ứng dụng. Nói cách khác, các công ty công nghệ đang buộc người dùng phải đối mặt với những lỗ hổng bảo mật mà họ chẳng tài nào tự giải quyết được”, Stavrou nói.
Công bằng mà nói hệ điều hành mở không có gì sai cả, chính sự tùy biến bất tận là yếu tố chính giữ cho Android luôn tươi mới, không trì trệ với chỉ một giao diện duy nhất. Google đã chính thức ra mắt phiên bản Android Pie 9.0 cho các thiết bị PIxel, nhưng đến khi cập bến smartphone Galaxy hoặc Oppo, HTC hay LG, Android Pie sẽ khoác lên mình một giao diện hoàn toàn khác.
Cuộc đàm thoại diễn ra trong khuôn khổ Black Hat chủ yếu tập trung vào các thiết bị từ Asus, LG, Essential và ZTE. Đặc biệt, Bộ Nội an cho rằng nhà sản xuất Trung Quốc ZTE là mối đe dọa đến an ninh mạng quốc gia, tuy nhiên hiện cơ quan an ninh Hoa Kỳ chưa chia sẻ bất kỳ thông tin gì chứng minh tuyên bố của mình.
Về phần mình, Kryptowire cũng không chú trọng vào hướng điều tra của Bộ Nội an, thay vào đó tập trung tìm hiểu mục đích của nhà sản xuất bằng cách xem xét và phân tích kỹ lưỡng thực trạng ứng dụng rác xuất phát từ mã nguồn nghèo nàn liên tục bị đẩy vào điện thoại bởi nhà mạng và chính các hãng sản xuất thiết bị.
Ví dụ đầu tiên phải kể đến là dòng Asus ZenFone V Live, được Kryptowire phát hiện đang để hở ra rất nhiều lỗ hổng bảo mật có thể khiến máy bị chiếm dụng hoàn toàn, bao gồm cả chụp ảnh màn hình, quay phim màn hình, gọi điện thoại, đọc và chỉnh sửa tin nhắn văn bản cùng nhiều hành vi khác.
Thiết bị ZenFone V Live nghi ngờ nhiễm mã độc |
Về phần mình, Asus cho biết: “Asus đã được thông báo về tình trạng bảo mật gây nhiều tranh cãi của mình và đang gấp rút làm việc để giải quyết vấn đề qua các bản cập nhật phần mềm được phát hành qua giao thức OTA (Over The Air) tới người dùng. Asus quyết tâm bảo vệ an ninh và sự riêng tư của người dùng. Đồng thời chúng tôi đặc biệt khuyến khích tất cả người dùng cập nhật ZenFone lên phiên bản phần mềm mới nhất nhằm đảm bảo trải nghiệm bảo mật tốt nhất”.
Tại thời điểm này, “cuống cuồng” nghiên cứu và tung ra bản cập nhật là điều ít nhất Asus có thể làm. Tuy nhiên cập nhật tới tay người dùng dưới dạng bản cài đặt cho phép bỏ qua, khiến người dùng phổ thông chưa được biết về lỗ hổng bảo mật rất có thể tự ý bỏ qua cập nhật. Kryptowire còn cho biết qua thử nghiệm, bản thân bản update này là một bản cập nhật hỏng – phát hiện được củng cố bởi nghiên cứu gần đây từ công ty bảo mật Đức Security Research Labs.
Quay trở lại về lỗ hổng bảo mật Kryptowire đề cập đến, Kryptowire cho biết malware vẫn cần người dùng phải tự tay cài đặt một ứng dụng. Tạm bỏ qua chi tiết đó là nhược điểm duy nhất của một cuộc tấn công malware, Stavrou cho biết điều nguy hiểm nhất nằm ở chỗ một khi được cài đặt, các ứng dụng này thậm chí còn không cần phải “nói ngon ngọt” dụ dỗ người dùng cấp quyền truy cập phần cứng như bộ nhớ, microphone hay màn hình. Chúng sẽ thản nhiên truy cập vào tin nhắn và lịch sử cuộc gọi một cách âm thầm lặng lẽ, nhờ firmware thiết bị đã bị hỏng ngay từ khi xuất xưởng.
Viễn cảnh đó có thể dẫn đến vô vàn hậu quả đáng tiếc, tùy theo tình trạng dữ liệu của thiết bị. Đối với hai model đến từ nhà sản xuất Trung Quốc ZTE Blade Spark và Blade Vantage, lỗi firmware sẽ cho phép bất kỳ ứng dụng nào truy cập vào tin nhắn, dữ liệu cuộc gọi và “logcat log” – cụm dữ liệu có được từ thu thập thông báo hệ thống và có thể chứa nhiều thông tin nhạy cảm như địa chỉ email, định vị GPS và hơn nữa. Trên LG G6, flagship 2017 của Nhà sản xuất Hàn Quốc có thể bị đánh cắp dữ liệu logcat log hoặc khóa hoàn toàn chủ nhân khỏi thiết bị. Đối với Essential Phone, tin tặc có thể reset cứng (factory reset) thiết bị và xóa sạch dữ liệu khỏi máy.
ZTE Blade Spark |
ZTE Blade Vantage |
Song có vẻ như Essential đã nhanh chóng phát hiện và khắc phục được vấn đề này:
“Ngay khi vừa được thông báo về lỗ hổng bảo mật, đội ngũ an ninh đã lập tức khắc phục xong xuôi lỗi này”, Trưởng bộ phận truyền thông Shari Doherty cho biết.
Essential Phone |
LG dường như cũng đã giải quyết được một vài vấn đề tuy nhiên vẫn còn nhiều lỗ hổng Nhà sản xuất xứ kim chi chưa sờ tới.
“LG đã được báo cáo về vấn đề bảo mật và đã tung ra nhiều bản cập nhật phần mềm nhằm khắc phục các vấn đề này. Rất nhiều bug xuất hiện trong bản nghiên cứu đã được vá lỗi hoàn toàn hoặc đã được bao gồm trong bản cập nhật tới”, công ty cho hay.
ZTE cũng cho biết sẽ triển khai nhiều nỗ lực để giải quyết tình trạng đáng thất vọng, trong đó bao gồm cả làm việc với nhà mạng để tung ra bản fix cho từng bug.
“Một điều rõ ràng là không ai đứng về phía người tiêu dùng cả. Những lỗ hổng này nằm sâu trong hệ thống đến nỗi người tiêu dùng phổ thông không thể nào biết được mình có bị ảnh hưởng hay không. Thậm chí ngay cả khi biết thiết bị mình dùng có lỗi bảo mật, điều duy nhất khách hàng có thể làm là đợi nhà sản xuất tung bản cập nhật phần mềm một cách thụ động”, Stavrou nói.
Cuối cùng, toàn bộ những công bố nêu trên mới chỉ là một góc nhỏ trong toàn bộ các phát hiện của Kryptowire – chưa được hãng công bố để cho nhà mạng và các công ty thời gian để “sửa sai”.
Bản chất mã nguồn mở của Android chưa bao giờ là vấn đề bảo mật dễ giải quyết, và chúng ta vẫn sẽ phải chấp nhận những dòng code và ứng dụng bên thứ ba cài đặt sẵn vào máy và không thể nào gỡ cài đặt.