Các nhà sản xuất smartphone bẻ khóa an ninh Android với các ứng dụng cài đặt sẵn

Bản tin ICT - Ngày đăng : 07:10, 04/11/2015

Các nhà nghiên cứu tìm thấy các lỗ hổng an ninh có tác dụng làm cho các ứng dụng riêng của các nhà sản xuất điện thoại hoạt động ngoài tầm kiểm soát.

Có rất tin tức xấu về an ninh của điện thoại thông minh ngày nay mà có lẽ bạn không nên bỏ lỡ, đặc biệt là nếu bạn sử dụng hoặc quản lý bất cứ điều gì liên quan đến điện thoại Android.

Một nguồn chính của vô số các lỗ hổng bảo mật trong các điện thoại Android, hóa ra không phải đến từ các mã nguồn Android hoặc đặc điểm kỹ thuật của chính nó, hoặc thậm chí từ sự chậm trễ mà các nhà sản xuất cho phép trước khi nâng cấp điện thoại thông minh hiện có với phiên bản mới nhất của hệ điều hành.Một thiết lập rất quan trọng của các lỗ hổng xuất phát từ sự thất bại của nhiều nhà sản xuất trong việc thi hành hoặc thực hiện các mô hình bảo mật dựa trên các điều khoản của Android.

Bằng việc sử dụng một công cụ phân tích an ninh được gọi là Woodpecker, các nhà nghiên cứu đã phát hiện ra rằng 11 trong số 13 ứng dụng được nghiên cứu đã cho phép cho các chức năng đặc biệt vượt xa những gì chúng có.Điều này không chỉ cung cấp một ứng dụng được cài đặt sẵn có nhiều khả năng hơn khả năng vốn có của thiết bị. Nó còn cung cấp cho các ứng dụng không đáng tin cậy khả năng sử dụng các quyền truy cập của các ứng dụng được cài đặt sẵn để làm bất cứ điều gì – từ theo dõi dữ liệu vị trí đến việc xoá sạch tất cả các thông tin trên điện thoại mà không cần xin phép. Xuxian Giang, người đứng đầu nhóm nghiên cứu, đã xác định phân tích một số biến thể phần mềm độc hại lớn của Android trong vài tháng qua.

Trong khi mô hình tham chiếu tiêu chuẩn của Google bao gồm một vài vấn đề với các điều khoản ứng dụng thì 13 ứng dụng được cài đặt mặc định bởi nhà sản xuất trên tám loại điện thoại thông minh được thử nghiệm đã tạo ra lỗ hổng trong bảo mật của Android bằng cách cung cấp những sự cho phép tùy tiện hoặc thay đổi mặc định của một số thiết lập bảo mật từ On thành Off.

Nhiều chức năng liên quan - ví dụ như khả năng ghi âm, gửi tin nhắn SMS, hoặc theo dõi vị trí - có thể được truy cập chỉ bằng phần cứng của điện thoại hoặc chỉ bởi sự cho phép đặc biệt của người sử dụng, theo các nhà nghiên cứu tại Đại học Bạng North Carolina.

Thùy Linh