Hai lỗi bảo mật đã được nhà nghiên cứu bảo mật tên Rafay Baloch phát hiện trong tháng qua và được các nhà nghiên cứu khác mô tả là một thảm họa bảo mật. Chúng cho phép kẻ tấn công có thể vượt qua một ranh giới bảo mật cốt lõi, được gọi là chính sách SOP (same-origin policy), tồn tại trong tất cả các trình duyệt.
SOP ngăn chặn những đoạn kịch bản (script) từ một tên miền để tương tác với dữ liệu từ một tên miền khác. Ví dụ, những đoạn script chạy trên một trang được lưu trữ trên tên miền A sẽ không thể tương tác với các nội dung được tải trên cùng một trang từ tên miền B. Nếu không có hạn chế đó, những kẻ tấn công có thể tạo ra các trang tải Facebook, Gmail hoặc một số trang web nhạy cảm khác trong một khung nội tuyến vô hình và sau đó lừa người dùng truy cập vào các trang này để chiếm quyền điều khiển phiên sử dụng của họ, đọc email hoặc gửi tin nhắn từ tài khoản Facebook của họ.
Các lỗ hổng SOP được Rafay Baloch tìm thấy ảnh hưởng đến các phiên bản Android 4.4 trở về trước, mà theo số liệu của Google hiện được cài đặt trên 75% tổng số thiết bị Android được kích hoạt có truy cập cửa hàng trực tuyến Google Play Store. Theo các nhà nghiên cứu bảo mật, phiên bản Android 4.4 không dễ bị tổn thương bởi vì nó sử dụng trình duyệt Google Chrome làm mặc định thay vì trình duyệt Android Open Source Project (AOSP) cũ.
Google đã phát hành bản vá lỗi cho hai lỗ hổng bảo mật AOSP trên, được cung cấp như một nền tảng cho các firmware Android tùy chỉnh được cài đặt trên thiết bị của các nhà sản xuất. Các nhà cung cấp giờ đây có nhiệm vụ nhập những bản vá lỗi này vào thiết bị và phát hành bản cập nhật firmware cho người dùng cuối.
Tuy nhiên, các bản cập nhật firmware Android từ trước đến nay khác nhau rất nhiều giữa các nhà sản xuất, giữa các thiết bị khác nhau từ cùng một nhà sản xuất và thậm chí giữa các quốc gia, khi các hãng cung cấp địa phương cũng đóng một vai trò trong việc phân phối phần cập nhật.
Điều này được phản ánh trong dữ liệu về hai lỗ hổng này do Lookout thu thập từ người dùng các sản phẩm bảo mật di động của họ. Nhìn chung, Lookout cho biết có khoảng 45% người dùng của họ có một phiên bản trình duyệt AOSP dễ bị tổn thương đang được cài đặt.
Tuy nhiên, Lookout cũng công bố một thống kê về các thiết bị dễ bị xâm nhập ở mỗi nước trên toàn thế giới và cung cấp một cái nhìn khác. Hiện có khoảng 80% người dùng Lookout ở Nhật Bản đang cài đặt một phiên bản trình duyệt AOSP dễ bị tấn công, so với chỉ có 34% người dùng ở Mỹ. Tây Ban Nha có khoảng 73% người dùng có khả năng bị ảnh hưởng trong khi tỉ lệ ở Anh là 51%. Những sự khác biệt đáng kể có thể là do độ tuổi trung bình của người dùng điện thoại ở Mỹ thấp hơn các và một tần suất cập nhật thấp hơn ở một số nước, theo Lookout.
Dữ liệu của Lookout phần nào cũng đã phản ánh tình trạng phân mảnh của hệ sinh thái Android, đặc biệt là khi nói đến các bản vá bảo mật. Thay vì sử dụng các phiên bản trình duyệt dễ bị tổn thương được cài đặt sẵn, người dùng Android có thể cài đặt và sử dụng Chrome, Firefox hoặc một số trình duyệt khác.
Theo PC World VN.
Bình luận