Vấn đề bảo mật thực sự của Android là do các nhà sản xuất

Nếu bạn đang chạy điện thoại Google Pixel, điện thoại của bạn sẽ an toàn khỏi một lỗ hổng bảo mật có thể cho phép một tệp PNG phá hủy hoàn toàn hệ thống. Nếu bạn đang sử dụng gần như bất kỳ thiết bị cầm tay Android nào khác, thì điện thoại của bạn rất dễ bị tấn công. Đây là một vấn đề.

Google gần đây đã phát hành bản cập nhật bảo mật tháng 2 cho thiết bị Pixel, điều này đóng một lỗ hổng cho phép các tệp PNG độc hại “thực thi mã tùy ý trong ngữ cảnh của một quy trình đặc quyền”. Nói một cách đơn giản hơn, mã có thể chạy ở mức cao và lấy cắp thông tin của bạn — tất cả những gì bạn cần làm là mở tệp. Đó là nó.

Điều đó có nghĩa là bất kỳ PNG nào đến với bạn — có thể là trong email, ứng dụng nhắn tin hoặc thậm chí qua MMS — đều có khả năng chiếm quyền điều khiển hệ thống và lấy cắp dữ liệu có giá trị. Đó là, trên bất kỳ điện thoại nào không phải là Pixel, vì chúng đã được bảo vệ ngay bây giờ. Samsung, LG, OnePlus và hầu hết các thiết bị cầm tay của các nhà sản xuất khác vẫn dễ bị lỗi này. Chúng tôi phải bắt đầu giữ các nhà sản xuất theo tiêu chuẩn cao hơn khi nói đến các bản cập nhật bảo mật. Giai đoạn = Stage.

Tôi hiện có bốn điện thoại Android trong tầm tay: Pixel 2 XL, Pixel 1, Samsung Galaxy S9 và OnePlus 6T. Hai Pixel được vá và bảo vệ với bản cập nhật tháng 2, nhưng S9 và 6T chỉ có trong bản vá bảo mật tháng 12. Điều đó có nghĩa là mọi lỗ hổng bảo mật mới hơn — chẳng hạn như lỗ hổng PNG này — đều không được vá trên cả hai thiết bị cầm tay này. Xem xét các thiết bị Samsung Galaxy là một trong những điện thoại phổ biến nhất trên hành tinh, điều này thật đáng lo ngại.

Nhưng nó không chỉ là một vấn đề vì vấn đề hiện tại. Đây là một vấn đề động là một mối quan tâm thường xuyên — hoặc ít nhất là nó phải như vậy. Miễn là có các lỗ hổng bảo mật mới, các bản cập nhật bảo mật bị trì hoãn sẽ luôn là một vấn đề. Vì vậy, nói một cách đơn giản hơn: đây sẽ luôn là một vấn đề vì các lỗ hổng bảo mật đã được đảm bảo.

Mặc dù “phân mảnh” Android từ lâu đã là một vấn đề (về cơ bản kể từ khi nền tảng này được giới thiệu) khi nói đến các bản cập nhật hệ điều hành đầy đủ, điều này sẽ không áp dụng cho các bản cập nhật bảo mật. Đây không phải là các bản cập nhật “các tính năng mới rất thú vị và tôi muốn chúng”, đây là các bản cập nhật bảo vệ dữ liệu quan trọng. Bất kể chúng có nhỏ hay không, đây không phải là thứ mà bất kỳ người tiêu dùng nào cũng nên bỏ qua. Bao giờ.

Hiện tại, các nhà sản xuất đang thực hiện một công việc tồi tệ là bảo vệ người dùng của họ, dừng lại hoàn toàn. Mặc dù việc không nhận được các bản cập nhật hệ điều hành đầy đủ (hoặc thậm chí các bản phát hành điểm) là điều khó chịu nhất, nhưng việc không nhận được các bản cập nhật bảo mật là điều không thể chấp nhận được. Nó gửi một thông điệp không thể bỏ qua: nó nói rằng nhà sản xuất điện thoại của bạn không quan tâm đến dữ liệu của bạn. Thông tin của bạn không đủ quan trọng để họ bảo vệ.

Các bản cập nhật bảo mật không lớn như các bản cập nhật hệ điều hành đầy đủ hoặc thậm chí là các bản phát hành điểm. Chúng được Google phát hành hàng tháng, vì vậy chúng nhỏ hơn và dễ dàng đưa vào hệ thống hơn nhiều — ngay cả đối với các nhà sản xuất bên thứ ba. Một lần nữa, không có lý do thực sự nào để không ưu tiên điều này.

Năm ngoái, Google đã yêu cầu các nhà sản xuất cung cấp các bản cập nhật bảo mật ít nhất hai năm cho thiết bị cầm tay. (Điện thoại Pixel được đảm bảo sẽ có ba năm.) Vấn đề với điều đó? Nó chỉ yêu cầu “ít nhất bốn” bản cập nhật trong vòng một năm. Đó là hàng quý, không phải hàng tháng – và đó chính xác là những gì hầu hết các nhà sản xuất đang làm. Mức tối thiểu trần. Và nó chỉ là không đủ tốt.

Tại sao? Bởi vì các lỗ hổng bảo mật mới luôn bị lộ ra ngoài. Tôi không muốn dữ liệu của mình có khả năng bị xâm phạm trong khi chờ nhà sản xuất điện thoại hoàn thiện các bản sửa lỗi bảo mật trị giá ba tháng trong một bản cập nhật — tôi muốn chúng ngay khi Google phát hành và bạn cũng vậy.

Lỗ hổng PNG này chỉ là một ví dụ. Hàng tháng, các loại vấn đề này được phát hiện và với việc hầu hết các nhà sản xuất tung ra các bản cập nhật bảo mật nhiều tháng sau đó, khiến dữ liệu của bạn bị lộ lâu hơn mức có thể chấp nhận được.

Mặc dù tôi ước có một câu trả lời dễ dàng về cách khắc phục điều này, nhưng thật không may, không có. Cho đến khi các nhà sản xuất bắt đầu coi trọng thông tin của bạn hơn, chỉ có một câu trả lời thực sự: mua một chiếc điện thoại khác. Apple và Google đã thường xuyên chứng minh rằng họ quan tâm đến dữ liệu của người dùng, vì vậy iPhone và Pixel đều là lựa chọn tuyệt vời cho những người dùng muốn làm mọi thứ có thể để bảo vệ dữ liệu của mình.

Nghe có vẻ sáo rỗng (và tôi thực sự phát ngán khi nghe điều đó): đã đến lúc bỏ phiếu bằng ví của bạn. Không mua điện thoại từ các nhà sản xuất không quan tâm đến dữ liệu của bạn. Đó là cách duy nhất để họ biết điều này là nghiêm trọng.