Đây là một bí mật bẩn thỉu: Hầu hết các thiết bị Android không bao giờ nhận được bản cập nhật bảo mật. Chín mươi lăm phần trăm thiết bị Android hiện có thể bị xâm phạm qua tin nhắn MMS và đó chỉ là lỗi phổ biến nhất. Google không có cách nào để áp dụng các bản vá bảo mật cho các thiết bị này và các nhà sản xuất và nhà cung cấp dịch vụ không quan tâm.
Hệ sinh thái Android đang trở thành một bãi rác độc hại của các thiết bị chưa được vá lỗ hổng bảo mật. Để so sánh, khi iOS của Apple có lỗ hổng bảo mật, Apple chỉ có thể cập nhật tất cả các iPhone được hỗ trợ bằng một phiên bản mới. Ngay cả điện thoại Windows cũng tốt hơn Android ở đây.
Điện thoại Android không được đảm bảo nhận bản cập nhật bảo mật
LIÊN QUAN: Tại sao điện thoại Android của bạn không nhận được bản cập nhật hệ điều hành và bạn có thể làm gì về nó
Gần đây Stagefright MMS bu g cung cấp cho chúng tôi một nghiên cứu điển hình tốt, chứng minh điều gì sẽ xảy ra khi ai đó phát hiện ra lỗ hổng bảo mật trong Android. Google tạo các bản vá và áp dụng chúng cho mã nguồn mở chính của dự án Android. Sau đó, Google sẽ gửi các bản vá lỗi này cho các nhà sản xuất phần cứng - Samsung, HTC, Sony, LG, Motorola, Lenovo và các nhà sản xuất khác. Sự tham gia của Google kết thúc ở đây. Họ không thể buộc các nhà sản xuất thực sự phát hành các bản vá lỗi này . Đây thường là nơi quá trình kết thúc.
Nếu nhà sản xuất muốn áp dụng các bản vá này, họ phải áp dụng chúng cho mã Android của thiết bị và tạo phiên bản Android mới cho thiết bị đó. Đây là một quy trình riêng cho mọi điện thoại và máy tính bảng mà nhà sản xuất hỗ trợ. Sau đó, mỗi nhà sản xuất phải liên hệ với nhà cung cấp dịch vụ mà họ bán điện thoại thông qua và cung cấp từng bản vá dành riêng cho từng thiết bị cho từng nhà mạng trên toàn thế giới. Sự tham gia của nhà sản xuất kết thúc ở đây. Ngay cả khi họ phát điên và vá mọi thiết bị mà họ vẫn đang hỗ trợ - rất khó xảy ra - họ không thể buộc các nhà cung cấp dịch vụ thực sự áp dụng các bản vá này
Sau đó, các nhà cung cấp dịch vụ có thể chọn gửi phiên bản Android mới, được vá đến thiết bị của họ hoặc không. Nếu họ làm vậy, rất có thể sau một thời gian thử nghiệm rộng rãi, các lỗ hổng bảo mật sẽ tiếp tục tồn tại. Ngay cả khi nhà cung cấp dịch vụ muốn làm điều này, thì rất có thể họ sẽ chỉ muốn thử nghiệm bản cập nhật trên một số điện thoại hàng đầu chứ không phải các thiết bị cũ hơn.
Trên thực tế, hầu hết các thiết bị Android không nhận được bản cập nhật bảo mật và dễ bị tấn công. Google đã không chọn thực thi việc cung cấp các bản cập nhật bảo mật giống như họ thực thi những điều khác trong hợp đồng với nhà sản xuất. Các nhà sản xuất tạo ra rất nhiều thiết bị khác nhau và không muốn cập nhật tất cả chúng. Các nhà cung cấp dịch vụ vận chuyển rất nhiều thiết bị khác nhau và không muốn kiểm tra chúng. Thay vì cung cấp bản cập nhật và duy trì điện thoại cũ, họ muốn thúc đẩy khách hàng mua thiết bị mới. Các lỗ hổng bảo mật đó đã được sửa trong các bản dựng mới nhất của Android, vì vậy một thiết bị mới sẽ an toàn - ít nhất là cho đến khi tìm thấy nhiều lỗ hổng hơn và không được vá.
Có, tính năng “kiểm tra bản cập nhật” trên thiết bị Android của bạn chỉ kiểm tra xem có bất kỳ bản cập nhật nào được nhà sản xuất và nhà cung cấp dịch vụ chấp thuận hay không. Đó không phải là cách đáng tin cậy để đảm bảo bạn có các bản cập nhật bảo mật.
iPhone được đảm bảo Cập nhật bảo mật kịp thời
Mô hình cập nhật Android bị hỏng một cách kinh khủng. Đó không chỉ là việc nhận các tính năng mới nhất và tuyệt vời nhất. Thay vào đó, không có cách nào để đảm bảo bạn có các bản vá bảo mật hiện tại. Thực sự thậm chí không có cách nào để biết chính xác lỗ hổng bảo mật nào đã được vá trong thiết bị của bạn, vì bạn phụ thuộc vào nhà sản xuất thêm bản vá vào phiên bản Android tùy chỉnh của họ và triển khai nó cho thiết bị của bạn.
Google đã cố gắng tránh điều này bằng Dịch vụ của Google Play, tự động cập nhật trên tất cả các thiết bị Android . Nhưng nó chỉ có thể làm được rất nhiều. Tất cả các thiết bị Android chạy Android 4.4.4 trở lên - tức là hầu hết các thiết bị Android - hiện tại có một trình duyệt web đầy lỗ hổng bảo mật vì Google không thể cập nhật nó . Và hiện tại, hầu hết tất cả các thiết bị Android đều có thể bị xâm nhập bằng MMS.
Thực sự, điều này là khủng khiếp. Hãy tưởng tượng nếu máy tính xách tay Windows không bao giờ nhận được bản cập nhật bảo mật từ Microsoft. Thay vào đó, Microsoft sẽ phát hành các bản vá cho Dell, Lenovo, HP và các nhà sản xuất khác. Nhà sản xuất có thể chọn vá hoặc không, và nếu họ chọn vá, bản vá đó sẽ phải được chấp thuận bởi cửa hàng bạn mua máy tính xách tay trước khi nó đến tay bạn. Microsoft đúng là sẽ phải trả giá cho việc này. Thay vào đó, Microsoft phát hành một bản vá và nó được cung cấp cho người dùng của tất cả các kiểu máy tính Windows thông qua Windows Update. Ngay cả Chrome OS của riêng Google cũng hoạt động theo cách này mà không cần các nhà sản xuất cản trở.
Bạn muốn đảm bảo thực tế về các bản cập nhật bảo mật cho điện thoại thông minh của mình? Bạn phải mua iPhone khá nhiều, mặc dù ngay cả điện thoại Windows của Microsoft cũng đi trước Android ở đây. Khi một lỗ hổng bảo mật được phát hiện trên iPhone, Apple có thể phát hành một bản vá cho mọi người dùng iPhone cùng một lúc - ngay cả các nhà cung cấp dịch vụ cũng không cản trở .
Quyền và Kiểm soát quyền riêng tư cũng tốt hơn trên iOS
LIÊN QUAN: iOS cũng có quyền ứng dụng: Và chúng được cho là tốt hơn Android
Quyền ứng dụng là một trường hợp khác khi iPhone gặp rắc rối với điện thoại Android. Android khởi đầu mạnh mẽ, cung cấp “quyền ứng dụng” - bạn có thể xem ứng dụng yêu cầu gì trước khi cài đặt và chọn không cài đặt. iPhone hiện có hệ thống quyền được cải tiến, nơi bạn thực sự có thể chọn và chọn dữ liệu mà ứng dụng có quyền truy cập. Bạn cần sử dụng một ứng dụng nhưng không muốn cấp cho ứng dụng đó quyền truy cập vào danh bạ hoặc dữ liệu nhạy cảm khác của bạn? Bạn có thể làm điều này trên iOS.
Trên Android, quyền ứng dụng giống như yêu cầu hơn - nhận hoặc bỏ nó. Các ứng dụng thường yêu cầu nhiều quyền hơn chúng thực sự cần để hoạt động và bạn không bao giờ thực sự biết liệu trò chơi bạn đã cài đặt có đang tải danh sách liên hệ của bạn lên một máy chủ từ xa hay không. Google đang làm việc để thêm kiểm soát quyền vào các phiên bản Android trong tương lai, nhưng điều đó là quá ít, quá muộn. Các chức năng như vậy hiện chỉ có sẵn trong ROM tùy chỉnh của bên thứ ba sau Google đã xóa quản lý quyền ẩn của Android r.
iPhone thực sự cho phép bạn kiểm soát những gì ứng dụng có thể làm trên điện thoại của bạn , cho thấy các quyền của ứng dụng là biện pháp kiểm soát quyền riêng tư hữu ích mà bất kỳ ai cũng có thể hiểu được. Điều này giúp bảo mật dữ liệu cá nhân của bạn. Trên Android, điều đó thực sự phụ thuộc vào ứng dụng - bạn chỉ có thể kiểm soát xem mình có sử dụng ứng dụng đó hay không.
Kho ứng dụng bị khóa của Apple có đi quá đà trong việc cấm các loại nội dung cụ thể , nhưng chỉ cho phép các ứng dụng từ một nguồn được phê duyệt sẽ cung cấp một số bảo mật bổ sung chống lại phần mềm độc hại. Hầu hết phần mềm độc hại trên Android đến từ bên ngoài Google Play, thường khi người dùng tải xuống ứng dụng vi phạm bản quyền và cài đặt nó. Điều này không thể thực hiện được nếu không bẻ khóa iPhone. Quy trình phê duyệt cửa hàng ứng dụng iOS cũng khắt khe hơn một chút, liên quan đến một người thực sự kiểm tra ứng dụng hơn là một thuật toán tự động.
Google cần khắc phục tình trạng này. Hầu hết các thiết bị Android không bao giờ nhận được các bản cập nhật bảo mật và dễ bị tấn công bởi một số lượng lỗ hổng bảo mật không thể đếm được là điều không thể chấp nhận được. Nhiều thiết bị thậm chí có bộ nạp khởi động bị khóa, điều này sẽ khiến bạn không thể tự mình vá lỗi bằng cách cài đặt một ROM tùy chỉnh .
Đúng, Android là một nền tảng mở với nhiều nhà sản xuất tham gia, nhưng Windows cũng vậy. Google cần thiết lập nền tảng của mình. Chúng ta sẽ tiếp tục chứng kiến những đợt bùng phát bảo mật ngày càng tồi tệ hơn trong vùng đất của Android cho đến khi toàn bộ hệ sinh thái Android bắt đầu quan tâm đến bảo mật và có khả năng khắc phục các sự cố bảo mật một cách kịp thời và nhất quán, giống như mọi hệ điều hành hiện đại khác.
Tín dụng hình ảnh: Ấn Độ samarjeevaon flickr
