Lý do Google không vá lỗi đe dọa gần 1 tỷ thiết bị Android

Theo WSJ, lỗ hổng này xảy ra trên Android WebView – một bộ phận không thể tách rời của các phiên bản Android từ 4.3 trở về trước, vốn là bộ phận được tích hợp để các nhà phát triển có thể cung cấp tính năng duyệt web ngay trong ứng dụng.

Trong tuyên bố hôm thứ Sáu, Android Ludwig, lãnh đạo bộ phận bảo mật Android, khẳng định:

"Giữ cho phần mềm luôn được cập nhật lên bản mới nhất là một trong những thử thách lớn nhất của bảo mật... Phần mềm bị ảnh hưởng lần này có tới 5 triệu dòng mã nguồn, và việc sửa lỗi sẽ ảnh hưởng tới một lượng mã nguồn không nhỏ và do vậy không thể được tiến hành một cách an toàn".

Lỗ hổng nói trên không tồn tại trên các bản Android từ 4.4 KitKat trở lên, song do vấn đề phân mảnh trầm trọng của Android, lượng người dùng sử dụng thiết bị Android chạy 4.3 Jelly Bean đang chiếm khoảng 2/3 tổng lượng người dùng số 1 hành tinh.

Đại diện của Google cũng đã từng lên tiếng khẳng định sẽ "không phát triển bản vá cho các phiên bản WebView trước 4.4 song cũng sẽ đón nhận các bản vá (từ bên thứ 3) để xem xét đánh giá".

Cũng trong thông báo này, Google khẳng định sẽ từ chối tất cả các yêu cầu sửa lỗi cho lỗ hổng này: "Ngoại trừ việc thông báo tới các nhà sản xuất phần cứng, chúng tôi không thể thực hiện bất cứ hành động nào đối với các thông báo lỗi không đi kèm với các bản vá".

Có đủ thời gian để tìm lỗi trên Windows và Mac OS X song theo giám đốc bảo mật của Android, Google đang không hề cân nhắc tới việc sửa lỗi trình duyệt tích hợp trên Android.

Điều đó có nghĩa rằng các fan của Android sẽ vĩnh viễn phải đối mặt với "thảm họa" bảo mật này nếu như vẫn còn bị mắc kẹt trên 4.3 Jelly Bean hoặc các phiên bản thấp hơn.

Sau khi phát hành, phần lớn các dòng smartphone Android (đặc biệt là tầm trung và tầm thấp) đều sẽ bị các nhà mạng và các nhà sản xuất bỏ mặc, không cập nhật lên phiên bản Android mới nhất.

Tuy vậy, nếu chuyển sang sử dụng các trình duyệt như Chrome hoặc Firefox trên Android, người dùng Android cũ có thể giảm thiểu nguy cơ tiềm tàng từ lỗ hổng này.

Ngay trong tháng đầu tiên của năm mới, Google đã thu hút sự chú ý mạnh mẽ về thái độ kiên quyết đối với các vấn đề bảo mật trên... các hệ điều hành cạnh tranh: trong vòng 10 ngày, gã khổng lồ tìm kiếm liên tục công bố các lỗ hổng được trình báo qua chương trình Project Zero (tìm và vá lỗ hổng bảo mật trước khi bị hacker phát hiện).

Sau khi xác nhận các lỗi bảo mật do thành viên Project Zero trình báo, Google sẽ cho các công ty phần mềm khoảng thời gian 90 ngày để vá lỗi trước khi công bố rộng rãi.

Vụ việc Google công bố lỗi Windows 8.1 được đặc biệt chú ý, do Microsoft đã bày tỏ thái độ không bằng lòng về việc Google không nới thời gian sửa lỗi cho Microsoft.

Về phần mình, gã khổng lồ tìm kiếm tuyên bố khi tạo sức ép lên các công ty công nghệ, Google sẽ giúp tạo ra một "Internet an toàn hơn".

Chính tuyên bố này có thể làm hại Google trong tương lai: các lỗ hổng trên Windows 8.1 và Mac OS X mới bị Google công bố đều khó bị khai thác hơn lỗ hổng Android WebView, do đó gần như chắc chắn Microsoft sẽ sớm đem vụ việc này ra công kích lại Google trong vài ngày tới.

Theo Giaoducthoidai