Tuy nhiên, theo TheVerge, vấn đề đối với việc cập nhật Android còn phức tạp hơn nhiều. Công ty nghiên cứu bảo mật Security Research Labs (SRL) khẳng định rằng một lượng lớn các nhà sản xuất điện thoại Android hiện đang nói dối người dùng về các bản cập nhật bảo mật!

Các nhà nghiên cứu Karsten Nohl và Jakob Lell của SRL đã dành ra hai năm phân tích các thiết bị Android, kiểm tra xem liệu các điện thoại này có thực sự được cài đặt các bản vá bảo mật mà các nhà sản xuất thông báo với người dùng hay không. Bộ đôi nhà nghiên cứu này phát hiện ra rằng nhiều thiết bị gặp phải một vấn đề mà họ gọi là “patch gap” – “lỗ hổng cập nhật” – tức về lý thuyết, phần mềm trên máy khẳng định nó đã được cập nhật đầy đủ với các bản vá bảo mật, nhưng trên thực tế, nó đã “bỏ lỡ” hàng tá bản vá trong quá trình cập nhật đó.

Các bản vá bị bỏ lỡ không phải là vấn đề của riêng một hãng nào. SLR đã kiểm tra firmware từ 1.200 chiếc điện thoại của nhiều công ty như Google, Samsung, HTC, Motorola, LTE và TCL để xem liệu chúng có được cài đặt đầy đủ mọi bản vá Android vốn đã được tung ra từ năm ngoái hay không. Kết quả là ngay cả những chiếc flagship của các thương hiệu lớn như Samsung và Sony cũng thường xuyên bỏ lỡ các bản vá bảo mật.

Tất nhiên, đây là một điều chẳng mấy tốt lành. Dù là cố ý hay không, khách hàng cũng đang bị đặt vào tình thế nguy hiểm trước các vụ tấn công vì không được bảo vệ bởi các bản cập nhật bảo mật mới nhất. Họ còn bị “lừa” rằng các thiết bị hàng trăm USD của mình đang cực kỳ an toàn, dẫn đến những hậu quả còn nghiêm trọng hơn nhiều khi sự cố xảy ra.

Để giải quyết vấn đề này, SLR sẽ tung ra một công cụ gọi là SnoopSnitch trên PlayStore với khả năng phân tích firmware điện thoại người dùng để tìm các bản cập nhật bảo mật đã được cài đặt hay đã bị bỏ lỡ, từ đó cho người dùng biết rằng họ có thực sự an toàn hay không. Nhưng cho dù như vậy, sự việc lẽ ra không nên xảy ra theo hướng tiêu cực đến mức này.

Không phải mọi nhà sản xuất điện thoại Android đều bỏ lỡ các bản vá bảo mật như nhau. Nhìn chung, các điện thoại của Google, Samsung và Sony chỉ thỉnh thoảng bỏ lỡ một bản vá bảo mật. Còn các công ty như ZTE và TCL thì tệ hơn nhiều: các điện thoại của họ báo với người dùng rằng chúng đã cài khoảng 4 bản vá bảo mật hoặc nhiều hơn , nhưng thực ra chúng chẳng làm gì cả!

Về phía Google, công ty này bình luận rằng: “Chúng tôi đã tiến hành điều tra đối với từng trường hợp và từng OEM để buộc các thiết bị đã được chứng nhận của họ phải tuân thủ (các quy tắc về cập nhật phần mềm)”, đồng thời cho biết sẽ điều tra sâu hơn nữa. Google giải thích rằng lý do một số nhà sản xuất bỏ qua các bản vá là bởi chúng dành cho các tính năng vốn đã bị giản lược trên các thiết bị của hãng, hoặc có lẽ ngay từ đầu, một số điện thoại đã không hề đạt được chứng nhận bảo mật Android chính thức từ Google.

Sau tất cả, nếu các nhà sản xuất Android không thể cập nhật điện thoại của mình, ít nhất họ cũng nên thành thật với khách hàng về điều đó!

Minh.T.T