Công ty bảo mật Bluebox Labs đã vừa thử nghiệm 12 loại máy tính bảng Android giá rẻ hiện đang được nhiều nhà bán lẻ lớn của Mỹ phân phối và kết quả cho thấy rất nhiều lỗ hổng bảo mật, phần mềm độc hại và backdoor tồn tại trên các thiết bị này.
Đây là những sản phẩm được bán khuyến mãi nhân dịp Black Friday qua hệ thống của Amazon, Best Buy, Kmart, Koh's, Staples, Target và Walmart. Tất cả các mẫu máy được Bluebox kiểm tra đều chứa các lỗ hổng bảo mật Android chưa được vá gồm Masterkey - lỗ hổng cho phép tin tặc truy xuất vào các ứng dụng hợp pháp được cài trên máy và chèn mã độc vào chúng, FakeID - lỗ hổng cho phép tin tặc giả mạo ứng dụng và cài mã độc mà không cần xác minh chữ ký điện tử, Heartbleed - lỗ hổng cho phép tin tặc chiếm quyền truy cập bộ nhớ hệ thống qua giao thức OpenSSL và Futex - một lỗ hổng trên hệ thống kernel Linux khiến tin tặc có thể chiếm quyền root trên thiết bị. Trong khi đó, hơn 1/4 số mẫu máy đã được bán ra với các thiết lập bảo mật sai hoặc có chứa backdoor.
Bluebox cũng chính là công ty phát hiện ra các lỗ hổng Masterkey hồi năm ngoái và công bố chi tiết về siêu malware FakeID hồi đầu mùa hè năm nay. Trong khi Google đã phát hành bản vá cho các lỗ hổng vừa nêu nhưng trên thực tế, các thiết bị chạy Android được bán ra bởi các nhà bán lẻ nói trên vẫn chưa được cập nhật bản vá. Rất nhiều thiết bị cũng được phát hành với các lỗ hổng có thể khai thác từ xa, một số máy thậm chí còn bị chặn truy cập Google Play và vô hiệu hóa các tính năng bảo mật mà Google tích hợp trên Android.
Trong số các thiết bị dính lỗi bảo mật thì đáng chú ý là mẫu máy tính bảng DigiLand do BestBuy phân phối. Chiếc máy này được cài sẵn firmware với khóa thử nghiệm theo chương trình Android Open Source Project (ASOP). Theo Bluebox thì dạng khóa này không được dùng để xác nhận firmware trên các thiết bị thương mại bởi nó cho phép tin tặc dễ dàng tạo ra một hệ thống trojan có thể cập nhật.
Bên cạnh đó, các nhà bán lẻ Target, Kmart, Kohls, Staples và Walgreen cũng đang quảng cáo những mẫu máy tính bảng dính lỗi bảo mật cho dịp mua sắm sắp tới. Chẳng hạn như mẫu máy RCA Mercury do Target phát hành chứa 2 lỗ hổng bảo mật, trong khi mẫu máy Mach Speed Xtreme được Kmart bán ra không chỉ chứa lỗ hổng bảo mật mà còn mặc định vô hiệu hóa sẵn các thiết lập bảo mật để bảo vệ thiết bị khi cài đặt ứng dụng từ các nguồn phía thứ 3. Nghiêm trọng nhất là mẫu máy tính bảng Zeki được Kohl's phát hành. Nó mang cả 4 lỗ hổng bảo mật, chế độ USB debugging được bật sẵn, backdoor cũng được "cài sẵn", dùng khóa firmware thử nghiệm theo chương trình ASOP và không có Google Play.
Walgreen và Amazon cũng là 2 kênh bán lẻ đang phát hành các thiết bị dính lỗ hổng bảo mật. Polaroid A7 là một ví dụ và điều đáng chú ý là Polaroid là một thương hiệu khá nổi tiếng và sản phẩm của họ cũng có mặt tại Việt Nam. Bluebox cho biết Polaroid A7 chứa cả 4 lỗ hổng bảo mật, được root sẵn, các thiết lập bảo mật cũng bị tắt đi theo mặc định và có điểm số tin cậy thấp nhất trong tất cả các mẫu máy được kiểm tra.
Qua thông tin trên, người dùng có ý định mua hàng từ các kênh bán lẻ này nhân dịp khuyến mãi Black Friday nên cẩn thận. Thiết bị có thể rất rẻ bởi được bán khuyến mãi nhưng thông tin cá nhân, dữ liệu nhạy cảm lưu trên máy là điều quan trọng nhất và vô giá.