Buzz
Bản cập nhật Oreo của Android vừa mới ra mắt đầy đủ tính năng, bao gồm việc tăng tuổi thọ pin và tái suy nghĩ về thông báo. Nhưng những cải tiến quan trọng nhất của Oreo sẽ diễn ra phía sau, với một loạt các cập nhật bảo mật được thiết kế để tiến triển cùng với những mối đe dọa kỹ thuật số ngày càng phát triển. Từ ngừng ransomware đến chặn ứng dụng độc hại và giảm bớt những vấn đề phân mảnh lâu nay của Android, Oreo đối mặt với một số vấn đề lớn. Đối với các nhà phát triển bảo mật làm việc phía sau, thì đó chỉ là một bước tiến nữa trên hành trình không bao giờ kết thúc thực sự.
Với hơn hai tỷ thiết bị hoạt động hàng tháng, đa số trong số họ không sử dụng phiên bản mới nhất—hoặc thậm chí gần đây—Android trở thành mục tiêu phổ biến cho các hacker. Ngăn chặn họ đòi hỏi nhiều hơn chỉ một bản cập nhật hàng năm. Điều đó đòi hỏi một nỗ lực toàn diện, chiến lược dài hạn mà Google đã sử dụng từ nhiều năm qua.
"Thật buồn cười khi thế giới tập trung vào việc ra mắt một sản phẩm cụ thể. Trong thế giới bảo mật, cách tiếp cận đó thực sự không hiệu quả," nói Adrian Ludwig, giám đốc Bảo mật Android. "Đôi khi một thay đổi chúng ta thực hiện ba năm trước trở nên quan trọng trong năm nay, hoặc một thay đổi chúng ta đang thực hiện bây giờ trở nên quan trọng trong bốn năm tới. Đó là quá trình lặp đi lặp lại, chúng ta thực hiện những thay đổi trong mỗi bản cập nhật. Khả năng nhìn thấy và phản ứng nhanh đi đôi với khả năng thực hiện những thay đổi dài hạn và tích hợp chúng vào nền tảng."
Tầm nhìn dài hạn của Bảo mật Android có thể là một lợi thế, nhưng nhóm này không lãng phí cơ hội để tận dụng những lợi ích rõ ràng hơn từ thị phần Android và sự lan rộng của Google. Gần như tất cả các tính năng phòng thủ mới trong Android Oreo đều bắt nguồn từ việc phân tích dữ liệu để nhận biết xu hướng trong dữ liệu đe dọa, hoạt động trên Google Play và hành vi người dùng.
“Không có một lỗi lớn lan rộng nào ảnh hưởng đến mọi phiên bản Android gần đây, nhưng vẫn có nhiều lỗ hổng quan trọng ảnh hưởng đến nền tảng và framework Android cốt lõi,” nói Andrew Blaich, một nhà nghiên cứu bảo mật chuyên sâu về Android tại công ty bảo mật di động Lookout. “Nhưng với các cập nhật bảo mật của Oreo, họ ít nhất là giảm thiểu tác động vì có cơ chế cập nhật đang tồn tại. Và Google có khả năng phản ứng nhanh hơn đối với nhiều [sự cố bảo mật] bây giờ, điều đó là một điều tốt.”
Mức độ an toàn của Oreo sẽ làm cho điện thoại của bạn an toàn hơn bao nhiêu? Điều đó phụ thuộc phần nào vào việc bạn có nhận được cập nhật hay không và khi nào. Nhưng giả sử bạn nhận được, đó là một bước tiến đáng kể.
Thế giới Ứng dụng
Hãy xem xét Google Play Protect, một phần của cơ sở hạ tầng phát hiện và phản ứng của Bảo mật Android, quét các thiết bị để phát hiện hoạt động ứng dụng đáng ngờ. Với 50 tỷ ứng dụng được quét mỗi ngày, sự chính xác là rất quan trọng.
Việc quét ứng dụng trong Play Protect đã tồn tại phía sau màn hình dưới các tên khác nhau trong nhiều năm, nhưng Bảo mật Android đã giới thiệu cơ chế này cho khách hàng trong năm nay và đã sử dụng nó để tiến hành một loại nghiên cứu tầm nhìn mới. Nhà khoa học dữ liệu Android Megan Ruthven và những người khác đã phát triển các kỹ thuật để phát hiện phân phối của phần mềm độc hại được nhắm đến cực kỳ tập trung, loại có thể được phân phối hẹp đến các mục tiêu có giá trị cao. Cho đến nay, nghiên cứu của Ruthven đã phát hiện ra 3.000 mẫu phần mềm độc hại duy nhất, mỗi mẫu chỉ ảnh hưởng đến trung bình 130 người dùng. Khả năng phát hiện tín hiệu như vậy yếu ớt này giúp bảo vệ từng người dùng cá nhân, đồng thời cho phép Bảo mật Android nhận biết những mối đe dọa mới sớm. "Google Play Protect có tỉ lệ xâm nhập cao trên tất cả các thiết bị Android nên chúng tôi có thể tìm thấy những phần mềm gián điệp cụ thể, nhắm mục tiêu," Ruthven nói.
Tuy nhiên, các bộ quét của Android không thể bắt được tất cả mọi thứ và các nhà nghiên cứu vẫn thường xuyên phát hiện phần mềm độc hại đã vượt qua các bảo vệ của Google để xuất hiện trong Cửa hàng Play. Chỉ trong tháng Tám, các nhà phân tích bên thứ ba đã phát hiện hàng trăm ứng dụng tài chính bị nhiễm độc, phần mềm gián điệp và thậm chí cả các ứng dụng lan truyền mã độc để xây dựng botnet Android và thực hiện các cuộc tấn công DDoS.
Mặc dù có những lỗi gần đây nhưng nguy hiểm của việc tải xuống ứng dụng từ các cửa hàng ứng dụng bên thứ ba vượt xa so với những rủi ro của các ứng dụng thông thường trong Google Play. Do đó, Bảo mật Android đã thực hiện những thay đổi nhỏ nhưng đáng kể trong Oreo, nhằm nhắc nhở người dùng thường xuyên về loại ứng dụng họ đang tải xuống. Ví dụ, trong các phiên bản trước đó của Android, người dùng có thể kích hoạt tải xuống từ bên ngoài Google Play thông qua một cài đặt gọi là "Nguồn không xác định". Bắt đầu từ Oreo, người dùng hiện nhận được một lời nhắc để xác nhận họ muốn tải xuống bất kỳ ứng dụng từ "Nguồn không xác định" nào trước khi làm vậy, như một lời nhắc quan trọng hơn để tiến hành cẩn thận.
“Đó là một thách thức độc đáo khi thực sự cân bằng mong muốn cung cấp tính mở cửa và khả năng mạnh mẽ cho người dùng đồng thời bảo vệ người dùng,” nói Xiaowen Xin, một quản lý sản phẩm cho bảo mật nền tảng Android. “Đó là điều chúng tôi đấu tranh mỗi ngày và là điều chúng tôi làm việc chăm chỉ hàng ngày.”
Ransomscare
Bảo mật Android cũng có cái nhìn tổng quan. Khi theo dõi các cuộc tấn công mới nổi, nhóm không chỉ dựa vào dữ liệu cụ thể của Android; họ cũng điều tra trên web chung để tìm dấu vết về các gia đình phần mềm độc hại và theo dõi cơ sở hạ tầng độc hại. "Có một hiểu lầm phổ biến rằng chúng tôi trong Bảo mật Android chỉ nhìn vào các ứng dụng được gửi vào Google Play," nói chuyên gia phần mềm độc hại Android Elena Kovakina. "Nhưng thực tế là chúng tôi có một cách khá mạnh mẽ để lấy ứng dụng từ các nguồn đa dạng." Google Play Protect và các dịch vụ phát hiện khác thu thập dữ liệu ngành và nhóm còn phát triển mối quan hệ với bên thứ ba, như ngân hàng, trải qua một loạt các cuộc tấn công mạng đa dạng.
Trong trường hợp của ransomware di động, một loại tấn công nhỏ nhưng ngày càng phát triển, Android đã có một số ưu điểm về phòng thủ vì nó đặt mỗi ứng dụng vào một "hộp cát," thay vì để chúng chạy cùng nhau trong một môi trường mở. Kết quả là, Android có thể ngăn chặn hoạt động độc hại hiệu quả hơn so với một nền tảng mở rộng hơn như Windows.
Trong quá trình theo dõi 30 gia đình ransomware của Android, nhóm đã phát hiện các phiên bản tận dụng lỗ hổng để chặn người dùng truy cập điện thoại ở màn hình khóa, thông qua việc trình diễn hình ảnh trên màn hình và bằng cách mã hóa một số dữ liệu. Oreo bổ sung các biện pháp bảo vệ cho hộp cát của Android để bắt kín nhiều lỗ hổng này. Nhóm cũng cho biết đến thời điểm này họ vẫn chưa bao giờ gặp phải ransomware có thể làm cho thiết bị Android hoàn toàn không sử dụng được.
"Trên Android, từ đầu chúng tôi đã nói rằng việc một ứng dụng có thể phá hủy môi trường xung quanh nó là hoàn toàn không chấp nhận," Ludwig nói. "Và sau đó, điều đã diễn ra theo từng bước với mỗi phiên bản lớn là chúng tôi đã phát hiện ra những vùng nhỏ mà các ứng dụng có thể gây rối và chúng tôi đã trở nên tốt hơn trong việc phát hiện chúng."
Thị trường phân mảnh
Thách thức liên tục đối với bảo mật Android, bất kể Google giới thiệu các tính năng mới nào, vẫn là thị trường phân mảnh của nó. Bởi vì Android là một nền tảng mở, các nhà sản xuất thiết bị và nhà mạng thường điều chỉnh nó cho các thiết bị của họ. Những điều chỉnh này so với Android nguyên bản có thể làm chậm quá trình cập nhật một cách đáng kể. Hiện nay, 86% chủ sở hữu thiết bị Android sử dụng các phiên bản ít nhất là hai năm trước. Ngược lại, do hệ sinh thái và quy trình cập nhật được kiểm soát nhiều hơn của Apple, 87% thiết bị iOS đã áp dụng phiên bản mới nhất, iOS 10, vào cuối tháng Bảy.
“Kẻ tấn công vẫn có thể tận dụng rất nhiều lỗ hổng cũ mà vẫn tồn tại trong nhiều thiết bị,” Blaich của Lookout nói. “Đặc biệt tùy thuộc vào nơi họ tấn công trên thế giới, họ có thể tận dụng rất nhiều lỗ hổng đã biết.”
An ninh Android đã làm việc để đưa một số nhà sản xuất thiết bị lớn vào lịch trình cập nhật hàng tháng, điều này đã giúp cải thiện đôi chút tình trạng phân mảnh. Nỗ lực này có một số hạn chế; chỉ có vài chục mẫu điện thoại được cập nhật đều đặn. Vì vậy, Oreo đang nỗ lực để giải quyết mâu thuẫn trực tiếp với tính năng mới gọi là Dự án Treble. Mục tiêu? Làm cho việc cập nhật Android dễ dàng hơn không phụ thuộc vào thiết bị và nhà mạng, bằng cách phân đoạn mã nguồn của Android thành các phần tương tác với các thuộc tính cụ thể của nhà sản xuất và các phần xử lý hệ điều hành tổng quát, không phụ thuộc vào nền tảng. Lý tưởng là điều này có thể đẩy các bản cập nhật phần mềm đến thành phần Android cốt lõi của mọi thiết bị mà không cần xử lý không tương thích cụ thể của nhà sản xuất. Các nhà sản xuất cũng có thể gửi các bản cập nhật cho phần mã nguồn được điều chỉnh của họ.
Việc phân tách chức năng Android tổng quát khỏi mã nguồn cụ thể của nhà sản xuất mang lại lợi ích bảo mật rõ rệt. “Khả năng cập nhật là một phần quan trọng, nhưng Treble cũng rất tốt để giúp chúng tôi chia các phần khác nhau của hệ điều hành,” Xin nói. “Bây giờ có sự tương phản giữa các bộ phận [Android thuần túy] và các bộ phận phụ thuộc vào thiết bị. Nếu bạn có một lỗ hổng ở một bên, việc khai thác nó để tấn công bên kia giờ đây khó hơn rất nhiều.”
Dự án Treble không giải quyết ngay lập tức vấn đề về tỷ lệ sử dụng Android, thậm chí trong vòng một năm tới. Nhưng khi nó được triển khai trên nhiều thiết bị hơn, nó có thể mang lại một sự dịch chuyển bảo mật đáng kể mà không phá vỡ bản chất cốt lõi của Android như một nền tảng mã nguồn mở.
Hack và Chuột
Mặc dù nhiều tính năng bảo mật có tính chất rộng lớn để bảo vệ chống lại nhiều mối đe dọa hiện tại và tương lai chưa biết, nhưng các nhà phát triển An ninh Android lưu ý rằng họ có cái nhìn xa trước bổ sung về nơi mà kẻ tấn công sẽ tập trung đơn giản vì họ biết họ đã củng cố phòng thủ ở đâu và làm cho các cuộc tấn công không thực tế.
“Nơi mà chúng tôi chọn để đầu tư làm cho kẻ tấn công phải thay đổi chiến lược,” Ludwig nói. “Nó không hoàn toàn tuần hoàn, nhưng điều chúng tôi đã thấy trên Android là chúng tôi đã đầu tư rất nhiều vào bề mặt tấn công từ xa mà là mục tiêu chính, như Trình duyệt Chrome, và điều đó đã trở nên rất mạnh mẽ. Và sau đó, chúng tôi đầu tư vào khu vực mà ứng dụng thường xuyên tiếp xúc, và điều đó đã đạt đến mức rất mạnh mẽ. Vì vậy, bây giờ bạn thực sự cần có một ứng dụng có đặc quyền khá cao trên thiết bị để có thể tận dụng bất kỳ vấn đề cấp độ kernel nào.”
Trong thực tế, đây là cách mà điều đó diễn ra: Vào năm 2014, chỉ khoảng 4 phần trăm lỗ hổng Android nhắm vào kernel (trung tâm điều phối của hệ điều hành). Đến năm 2016, con số tăng lên 44 phần trăm, vì các cải tiến bảo mật đã cắt đứt các lối tấn công dễ dàng hơn cho kẻ tấn công. “Bây giờ việc tấn công Android thực sự rất khó khăn, và mọi người bắt đầu tìm kiếm mục tiêu tiếp theo và đó lại là kernel,” Xin nói. “Nếu bạn có thể tấn công kernel, bạn sẽ có quyền truy cập vào mọi thứ — bạn có thể khai thác phần còn lại của hệ thống. Vì vậy, chúng tôi đã làm rất nhiều công việc để làm cứng các khía cạnh khác nhau của kernel.”
Nhóm An ninh Android không thể chắc chắn về các cuộc tấn công sẽ bùng nổ trong tương lai, và Oreo sẽ giúp họ tiến xa hơn. Nhưng bất kể điều gì xảy ra tiếp theo, nhóm sẽ không đợi đến phiên bản Android lớn năm 2018 để chống lại nó.
