Vì sao Google “phớt lờ” lỗi bảo mật nghiêm trọng trên Android?

Thứ hai - 26/01/2015 14:36

Vì sao Google “phớt lờ” lỗi bảo mật nghiêm trọng trên Android?

Dân trí Google vừa lên tiếng giải thích lý do vì sao hãng thờ ơ và phớt lờ lỗ hổng bảo mật nghiêm trọng vừa được phát hiện và ảnh hưởng đến hơn 939 triệu người dùng thiết bị chạy Android phiên bản cũ, từ phiên bản 4.3 trở về trước, mà không tung ra bất kỳ bản vá nào.

Cách đây không lâu, Google trở thành tâm điểm của sự chỉ trích sau khi Tod Beardsly, chuyên gia của hãng phân tích bảo mật Rapid7, tiết lộ thông tin tất cả các phiên bản Android từ phiên bản Android, trừ 2 phiên bản Android mới nhất là Android 4.4 KitKat và 5.0 Lollipop, đang ẩn chứa một lỗ hổng bảo mật nghiêm trọng, có thể khiến người dùng bị hacker tấn công.

Điều đáng nói là sau khi Beardsly thông báo lỗi bảo mật này đến cho Google, hãng công nghệ này từ chối phát hành bản vá lỗi cho lỗ hổng này và “đá bóng trách nhiệm” cho các hãng sản xuất smartphone và các nhà phát triển độc lập làm điều đó thay mình.

Vì sao Google “phớt lờ” lỗi bảo mật nghiêm trọng trên Android? 1

Google hoàn toàn có lý do để không tung bản vá lỗi ảnh hưởng đến 2/3 người dùng Android trên toàn cầu

“Nếu phiên bản bị ảnh hưởng (của ViewWeb) thuộc Android 4.4 trở về trước, chúng tôi sẽ không tự phát triển bản vá lỗi dành cho chúng, tuy nhiên rất hoan nghênh những bản vá lỗi được cung cấp để chúng tôi xem xét. Chúng tôi không thể làm gì khác với những báo cáo lỗ hổng bảo mật trên Android 4.4 trở về trước, ngoại trừ việc thông báo chúng cho các nhà sản xuất”, Google đã trở lời khi nhận được báo cáo về lỗ hổng bảo mật được Tod Beardsly phát hiện.

Tod Beardsly cho biết lỗ hổng bảo mật này nằm trong Android WebView, một bộ phận không thể tách rời của phiên bản Android 4.3 trở xuống, cho phép hiển thị các nội dung trực tuyến bên trong các ứng dụng nhất định. Theo ước tính, lỗ hổng bảo mật này sẽ ảnh hưởng đến khoảng 939 triệu thiết bị chạy Android phiên bản 4.3 trở xuống.

Mặc dù Google luôn là hãng tiên phong trong việc phát hiện và vá các lỗ hổng bảo mật trên các sản phẩm và dịch vụ của mình, tuy nhiên, động thái này của Google khiến không ít người cảm thấy bất ngờ.

Mới đây, đại diện của Google đã đưa ra lời giải thích cho quyết định của mình.

“Giữ cho phần mềm luôn được cập nhật là một trong những thách thức lớn nhất trong bảo mật”, Adrian Ludwig, Giám đốc bảo mật của Android cho biết. Ludwig nhấn mạnh rằng mã nguồn các phần mềm bị ảnh hưởng bởi lỗi bảo mật này có hơn 5 triệu dòng mã và sửa chữa lỗi trong đó có thể “thay đổi đáng kể chức năng của các đoạn mã và điều này không thực sự an toàn”.

Có thể hiểu lời giải thích của Ludwig rằng nếu sửa lại các đoạn mã để vá lỗ hổng bảo mật thì có thể làm xuất hiện những lỗ hổng bảo mật mới, đặc biệt trên các phần mềm đã cũ thường hay sử dụng các câu lệnh cũ và không hợp thời.

Ludwig cũng trấn an người dùng rằng mặc dù lỗ hổng bảo mật này ảnh hưởng đến hơn 939 triệu người dùng Android sử dụng các phiên bản cũ từ 4.3 trở xuống, tuy nhiên lỗi chỉ xuất hiện trên trình duyệt web mặc định của nền tảng di động này, do vậy Ludwig khuyên người dùng Android nên chuyển qua các trình duyệt khác vẫn đang được cập nhật thường xuyên như Chrome hay Firefox...

Việc nền tảng Android có sự phân mảnh lớn và các bản nâng cấp Android thường được phát hành bởi các hãng sản xuất điện thoại, do vậy Google hoàn toàn có lý do để “phớt lờ” việc phát hành bản vá lỗi, khi mà người dùng có cách giải quyết đơn giản hơn là lựa chọn một trình duyệt web thay thế cho thiết bị của mình.

T.Thủy

Nguồn tin: Báo điện tử Dân Trí