Google phát hành một bản vá an ninh cho Android từ đầu tháng, nhưng thực tế chưa có ai được cập nhật.

Đầu tháng này, Google đã tung ra bản cập nhật an ninh hàng tháng thứ hai cho Android, nhưng các bản sửa lỗi chỉ mới bắt đầu với máy cầm tay.
Gói cập nhật bao gồm các bản vá cho 15 lỗi thực thi mã từ xa nghiêm trọng liên quan đến lỗ hổng Stagefright, và 15 lỗ hổng khác trong các thành phần Android khác nhau, như Media Player Framework, Android Runtime, Bluetooth và mediaserver. Các lỗi đã được đề cập trong bản LMY48T và sau đó (chẳng hạn như bản LMY48W) và Android 6.0 Marshmallow, theo bản tin đăng trên nhóm Cập nhật An ninh cho Android.
Google làm một cách chắp vá đối với bản cập nhật đầu tiên để khắc phục lỗ hổng Stagefright trong mùa hè và phải phát hành bản cập nhật thứ hai để thực sự khắc phục vấn đề. Bản cập nhật mới nhất này, mà đề cập đến nhiều vấn đề trong thư viện libstagefright, không lặp lại sai lầm trước đó.
"Khi thích hợp, Google đã cập nhật cho các ứng dụng Hangouts và Messenger để dữ liệu đa phương tiện không tự động được chuyển cho những quá trình không an toàn (chẳng hạn như mediaserver)", Google cho biết trong bản tin của mình.
Vấn đề đã được khắc phục trong LMY48T
Đa số những lỗ hổng được khắc phục trong bản cập nhật này có thể đã bị khai thác khi mở một tập tin đa phương tiện bị sửa đổi. Lỗ hổng Stagefright có thể cho phép tin tặc gây lỗi bộ nhớ và thực thi mã từ xa đối với dịch vụ mediaserver khi mở một tập tin MP3 hoặc MP4. "Những thành phần bị ảnh hưởng có thể truy cập đến các luồng âm thanh và hình ảnh cũng như có quyền truy cập mà các ứng dụng của bên thứ ba không thể truy cập một cách thông thường," Google cho biết trong bản tin.
Seven Shen, chuyên gia phân tích các mối hiểm họa đối với điện thoại di động của Trend Micro, xác nhận rằng bản vá an ninh mới nhất đã khắc phục bốn lỗ hổng mà Trend Micro từng thông báo. Lỗ hổng thứ nhất, một lỗi tràn số nguyên trong việc phân tích cú pháp tập tin MKV (Matroska), mà cho phép tin tặc thực hiện tấn công từ chối dịch vụ đối với chương trình mediaserver trên Android, khiến thiết bị khởi động lại và tiêu hao pin, Shen cho biết. Lỗ hổng thứ hai và thứ ba có liên quan đến việc phân tích tập tin MP4 và có thể làm gián đoạn mediaserver hoặc cho phép thực thi mã khi mở một tập tin MP4 bị sửa đổi. Lỗ hổng cuối cùng trong việc xử lý bộ đệm dữ liệu đa phương tiện của giao thức RTS (Real-Time Streaming Protocol) có thể dẫn đến lỗi tràn bộ đệm heap và thực thi mã, Shen cho biết.
Các chuyên gia nghiên cứu của Zimperium đã thông báo về một lỗ hổng thực thi mã từ xa trong thư viện libstagefright mà cũng có thể được thực hiện với một tập tin MP3 hoặc MP4 bị sửa đổi. Một lỗ hổng khác mà Zimperium thông báo có liên quan đến cách thư viện libutils xử lý tập tin âm thanh: Tin tặc có thể làm gián đoạn và thực thi mã từ xa thông qua một ứng dụng độc hại. Zimperium đã không phản hồi đối với những yêu cầu về việc xác nhận các bản vá được đề cập trong bản cập nhật này.
Một lỗ hổng thực thi mã từ xa trong Skia được đánh giá có mức độ nghiêm trọng bởi vì nó có thể đã bị khai thác bởi một tập tin đa phương tiện bị sửa đổi được gửi qua nhiều phương thức tấn công, như email, duyệt web và MMS. Lỗ hổng thực thi mã từ xa nghiêm trọng trong thư viện libFLAC cũng tồn tại như một hàm API của ứng dụng, và những ứng dụng sử dụng các chức năng bị ảnh hưởng, theo Google cho biết. Lỗ hổng nâng quyền trong thành phần Media Player Framework có thể cho phép một ứng dụng độc hại thực thi mã trong phạm vi của mediaserver.
Khả năng cập nhật phụ thuộc vào các nhà cung cấp
Các lỗ hổng được tìm thấy trong phiên bản Android 5 Lollipop và trước đó. Những thiết bị đã được cập nhật lên phiên bản Marshmallow hoặc có đủ điều kiện để nâng cấp lên hệ điều hành mới sẽ tự động nhận được các bản vá cho những vấn đề này.
Hệ thống cập nhật Android rất khác so với hệ thống máy tính để bàn. Bởi vì một bản cập nhật được phát hành không có nghĩa là nó đã sẵn sàng. Sau khi Google chuẩn bị bản cập nhật, nó vượt qua firmware của mỗi nhà sản xuất. Họ chuẩn bị các bản cập nhật cho từng dòng sản phẩm trước khi chuyển chúng đến nhà cung cấp. Sau đó các nhà cung cấp quyết định khi nào thì những bản cập nhật sẵn sàng cho người sử dụng. Điều này có nghĩa là Samsung đã có sẵn bản cập nhật cho Galaxy Note 5, nhưng khung thời gian để cập nhật cho thiết bị điện thoại của AT&T sẽ khác so với dòng sản phẩm của Verizon. Các trường hợp ngoại lệ là điện thoại Nexus và máy tính bảng, bởi vì chúng được cập nhật trực tiếp bởi Google.
Google cho biết họ đã thông báo đến các đối tác về bản cập nhật này vào ngày 10/09. Verizon dường như là những người đầu tiên tung ra bản cập nhật, khi các bản cập nhật đã sẵn sàng cho Samsung Galaxy Core Prime. Các bản cập nhật cho Samsung Galaxy Note Edge và Note 4 của AT&T đang trong quá trình phát hành, và LG đã cập nhật cho dòng điện thoại flagship G4. Hầu hết các hãng vẫn chưa công bố bản cập nhật sẵn sàng cho phần lớn các thiết bị cầm tay.
Sự chú ý trong tháng này là thiết bị nào sẽ có thể nâng cấp lên phiên bản Marshmallow, bao gồm các bản vá lỗi. LG hứa sẽ cung cấp Marshmallow cho người dùng ở Ba Lan trong tuần tới; Châu Âu, Châu Á, và Châu Mỹ sẽ là mục tiêu tiếp theo. HTC sẽ sẵn sàng cung cấp Marshmallow trên một trong những thiết bị cầm tay của mình vào ngày 20/10, hầu hết các thiết bị này sẽ bắt đầu nhận được bản cập nhật "vào cuối năm 2015."
Thậm chí với việc Google đang phát hành firmware cho các đối tác vào đầu tháng 9, nhưng đến giữa tháng 9 phần lớn các thiết bị cầm tay Android vẫn chưa cập nhật. Khi Google lần đầu công bố các bản cập nhật an ninh hàng tháng, LG và Samsung cũng cam kết cung cấp các bản cập nhật an ninh hàng tháng. Mặt khác, chủ tịch của HTC America, Jason Mackenzie, cho biết trên Twitter rằng HTC "sẽ thúc đẩy chúng, nhưng không thực tế cho bất cứ ai để đảm bảo mỗi tháng."
Một cái gì đó phải thay đổi trong hệ thống cập nhật khi những nghiên cứu cho thấy rằng hơn 80% các thiết bị Android trên toàn thế giới đếu không an toàn. Những lựa chọn thay thế là mua một thiết bị Nexus hoặc nâng cấp lên dòng flagship mới cứ 18 tháng một lần hoặc lâu hơn -- hoặc phải có một kế hoạch bền vững.