Liệu một "smartphone không thể hack" có tồn tại?

Thị trường bảo mật cho di động đang trên đà cất cánh sau những vụ tấn công đình đám, nhưng liệu có thể có một chiếc điện thoại unhackable (không thể hack) được không? Đặc biệt là khi nó có giá đến 14.000 USD?

Hãy nghĩ đến điều này: chiếc smartphone của bạn hiện mạnh hơn gấp 10 lần chiếc siêu máy tính triệu USD của 20 năm về trước. Có đến hàng chục triệu dòng lệnh của hệ điều hành trong điện thoại của bạn. Có hàng trăm ứng dụng được viết bởi hơn một triệu nhà phát triển, một vài trong số họ có thể là các hacker, một vài người khác thậm chí còn thiếu năng lực bảo mật.

Solaris Phone, chiếc điện thoại bảo mật với giá cắt cổ, 14.000 USD.

Trong khi đó, những con chip trong điện thoại của bạn có thể chạy các phần mềm phức tạp, từ vô số các công ty trên thế giới, tất cả các phần mềm đó đều có các lỗi bảo mật. Nói một cách ngắn gọn, bất kỳ ai tuyên bố họ đang bán một chiếc điện thoại không thể hack, người đó hoặc là không biết gì, hoặc là đang lừa dối.

Những mối đe dọa về phần mềm

Với việc tội phạm mạng gia tăng tấn công vào các thiết bị di động (ví dụ như các ứng dụng độc hại và các kế hoạch lừa đảo), đe dọa đến cả người tiêu dùng và các doanh nghiệp, thị trường đang gấp rút để đưa ra các giải pháp đối với mối đe dọa này. Gartner gọi vấn đề này Mobile Threat Defense (Bảo vệ trước mối đe dọa cho di động).

Mọi người – bất kể loại điện thoại nào mà họ đang sở hữu – cần phải thận trọng trước khi tải xuống các ứng dụng. Ví dụ, gần đây các hacker đã tạo ra những phiên bản của Pokemon Go chứa spyware độc hại, để nhắm vào những người hâm mộ háo hức muốn cài đặt sớm trước khi chính thức ra mắt. Ngay cả phiên bản hợp lệ đầu tiên của Pokemon Go cũng theo dõi rất nhiều hành động của bạn, và cả nhà phát triển lẫn cửa hàng ứng dụng cũng không biết về điều này.

Bất chấp sự thổi phồng của thị trường, rõ ràng nó không thể phát hiện tất cả hành vi độc hại chỉ bằng một lần quét ứng dụng trước khi nó được đưa lên cửa hàng ứng dụng. Các ứng dụng xấu thường khai thác các lỗ hổng trong hệ điều hành, vốn chưa từng được khám phá hay sửa chữa bởi nhà cung cấp thiết bị di động.

Các ứng dụng độc hại này có thể “ngủ đông”, không thực hiện các hành vi độc hại khi bị phân tích bởi chợ ứng dụng – chúng sẽ đợi đến khi được triển khai trên thiết bị thực. Những kẻ tội phạm mạng cũng có thể dễ dàng cài đặt ứng dụng từ các app store bất hợp pháp (sideload) trên cả nền tảng Android và iOS.

Bên cạnh các ứng dụng xấu, chúng ta còn đang thấy ngày càng nhiều những kẻ tội phạm mạng, các hacker và các chính phủ sẵn sàng trả tiền cho các lỗi khai thác zero-day trên di động. Các mối đe dọa bí mật và âm thầm này có thể kiểm soát chiếc di động của bạn chỉ bằng một cách đơn giản là gửi cho bạn một tin nhắn văn bản hay một email có chứa đường link đến một website độc hại.

Thật không may, các mối đe dọa an ninh mới này thường chỉ được phát hiện sau những cuộc tấn công thành công, bởi các nạn nhân hay các nhà nghiên cứu. Trong khi đó, một vụ xâm nhập thế này có thể ảnh hưởng đến hàng ngàn, hay thậm chí hàng trăm ngàn người trước khi nó được phát hiện và sửa chữa.

Mối đe dọa từ những hệ điều hành cho di động

Ngoài ra một điểm quan trọng khác cần chú ý là phần lớn các điện thoại tuyên bố mình “bảo mật” hay “không thể hack” đều chạy trên hệ điều hành Android. Dù đây là một hệ điều hành hiện đại cho thiết bị di động, nhưng nó có hơn 100 lỗi bảo mật được phát hiện và cần được sửa chữa hàng năm. Và xu hướng này cũng chưa thấy có dấu hiệu chậm lại, và khi các thiết bị di động đang ngày càng thông minh hơn với nhiều phần mềm và khả năng hơn, sẽ có ngày càng nhiều các lỗi khai thác bị hacker khai thác.

Nếu nhìn sâu hơn vào tình hình bảo mật của các thiết bị di động, chỉ riêng trong tháng Tám năm 2016, có đến 42 lỗ hổng bảo mật được phát hiện trên hệ điều hành Android hay trên những chiếc Nexus. Vào tháng Bảy năm 2016, cũng có 54 lỗ hổng như vậy được phát hiện.

Và xu hướng này đã kéo dài hàng năm nay, cũng như không có dấu hiệu cho thấy nó sẽ dừng lại. Bạn gần như có thể chắc chắn rằng mọi thiết bị di động đều có từ 10 đến 50 lỗ hổng bảo mật sẽ bị phát hiện trong tháng tới. Và tháng tiếp theo cũng sẽ như vậy.

Quan trọng hơn, hiện tại có đến 65% thiết bị Android đang được sử dụng trên toàn thế giới vẫn chạy trên các phiên bản cũ của hệ điều hành, cùng với hàng trăm lỗi đã được biết.

Ngay cả hệ điều hành iOS cũng không tránh khỏi các lỗi bảo mật. Tuy nhiên, các bản sửa lỗi bảo mật đã, và vẫn tiếp tục được phát hành cho những chiếc iPhone, iPad của Apple mỗi khi chúng được phát hiện. Ví dụ, chỉ riêng trong tháng Bảy năm 2016, Apple đã phát hành bản vá lỗi cho 29 loại lỗ hổng bảo mật. Những bản vá lỗi này giúp giải quyết đến 46 vấn đề riêng lẻ trên iOS.

Tuy nhiên, vào tháng Tám năm 2016, chỉ một tháng sau đó, một số tin tức rò rỉ cho thấy các hacker và chính phủ đã thâm nhập được vào nhiều chiếc iPhone bằng một spyware cao cấp để ăn cắp dữ liệu và do thám tất cả các ứng dụng liên lạc, ngay cả các ứng dụng được mã hóa. Những kẻ tấn công chỉ đơn giản gửi cho người dùng một tin nhắn văn bản chứa một đường link độc hại. Phương pháp tấn công này được tạo ra bởi một công ty tại Israel có tên gọi NSO, chuyên làm các spyware cho những thiết bị di động.

Và những mối đe dọa từ phần mềm cho các thiết bị khác

Không những vậy, có đến một nửa các lỗ hổng được phát hiện không đến từ bản thân hệ điều hành của điện thoại, thay vào đó chúng được tìm thấy trong phần mềm điều khiển các con chip bên trong thiết bị. Những mảnh phần mềm nhỏ này, được gọi là các firmware, chứa đến hàng chục lỗi bảo mật, bị phát hiện mỗi tháng.

Các lỗ hổng bảo mật trong firmware tác động đến những phần mềm vận hành các modem trên di động, camera, Wi-fi, âm thanh, màn hình, USB, … trên mỗi thiết bị. Các linh kiện này đến từ hàng loạt các nhà sản xuất trên khắp thế giới. Không gì có thể đảm bảo rằng vô số các linh kiện này được bảo mật.

BlackPhone, một smartphone khác nhấn mạnh vào khả năng bảo mật.

Và vẫn còn những mạng Wi-fi mà chúng ta truy cập mỗi khi ở sân bay hay khách sạn nữa, đừng nghĩ chúng vô hại, việc liên lạc của bạn cũng có thể bị do thám từ những nơi này. Những mạng kết nối tại các địa điểm này thường buộc bạn phải chứng thực qua một giao diện web trước khi truy cập vào Internet, và nó có thể bị đặt bẫy để lấy được email, mật khẩu và hoạt động truy cập web của bạn.

Do vậy, hãy thận trọng với bất kỳ mạng kết nối nào khi đi du lịch. Nếu bạn nhận được một cảnh báo khi truy cập một mạng Wi-fi mới, đừng click vào “Continue.” Hãy tìm một mạng khác.

Tất cả các vấn đề trên làm cho một chiếc điện thoại hoàn toàn bảo mật là không thể. Các tổ chức cũng cần các công cụ bảo mật để bảo vệ họ trước các mối đe dọa trên di động, do khi nhân viên của họ kết nối thiết bị của mình với các mạng lưới độc hại và tải xuống các ứng dụng ăn trộm dữ liệu, nó hoàn toàn có thể tác động đến các tổ chức. Người tiêu dùng lại càng phải cẩn trọng trước khi tải các ứng dụng (đọc và xác nhận những quyền cấp phép cho ứng dụng), khi đọc các tin nhắn văn bản từ các nguồn lạ, và chỉ tham gia vào các mạng Wi-fi đáng tin.

Và trên hết, đừng tin vào lời quảng cáo về “chiếc smartphone không thể hack.”

Tham khảo TechCrunch