Did Google Just Turn Our Phones Into Spy Magnets? Two Zero-Days Already Exploited in the Wild
Liệu Google có đang biến điện thoại của chúng ta thành 'nam châm gián điệp'? Hai lỗ hổng zero-day đã bị khai thác ngoài thực tế

Để tôi tóm lại: Google phát hiện hai lỗ hổng Android nghiêm trọng đã bị khai thác âm thầm – có thể bởi các cơ quan tình báo hoặc tin tặc đánh thuê – và giải pháp to lớn của họ là 'cập nhật điện thoại'? Trong khi đó, hơn 100 lỗ hổng khác cũng vừa được vá, và bảy cái ở mức nghiêm trọng. Một lỗ hổng nhân hệ điều hành có thể cho phép tin tặc làm sập điện thoại từ xa mà không cần bất kỳ quyền gì. Cái khác thì cho phép chiếm quyền toàn phần nếu chúng có được điểm đột nhập.
Điều đáng sợ nhất? Chính phủ Mỹ vừa yêu cầu bắt buộc các cơ quan liên bang phải vá lỗi trước Giáng Sinh. Không phải 'khuyến nghị' – là bắt buộc. Nếu điện thoại bạn chưa được cập nhật, thì coi như bạn đang vẫy cờ đỏ trước những tay sát thủ kỹ thuật số. Và không, chiếc Pixel 2 năm tuổi của bạn không an toàn chỉ vì có logo Google.
Người ta không nhận ra một lỗ hổng zero-day trên Android có giá trị đến mức nào. Chúng ta đang nói đến hơn 1 triệu USD cho một chuỗi khai thác sạch sẽ. Các chính phủ và công ty đánh thuê như NSO không chỉ dò dẫm đâu; họ đang tiến hành chiến dịch mạng toàn diện nhằm vào dân thường. Đây không phải là 'lỗi'—đây là vũ khí.
Vậy điện thoại Pixel 2023 của tôi không còn nhận cập nhật nữa à? Tôi cứ tưởng Pixel là tiêu chuẩn vàng về bảo mật.
Việc vá lỗi tháng này chẳng qua là trò đùa. Công ty tôi sẽ không triển khai cập nhật cho đến quý 2 năm sau. Trong khi đó, chúng tôi bảo nhân viên tránh các liên kết đáng ngờ. Chúc may mắn với điều đó.
Sự thật phũ phàng: phần lớn người dùng thậm chí không biết 'cập nhật' nghĩa là gì. Và nhà mạng? Họ kéo dài thêm vài tuần đến vài tháng. Lỗ hổng thực sự không nằm ở mã nguồn—mà nằm ở hệ sinh thái cập nhật.
Cho đến khi chúng ta quản lý thị trường phần mềm gián điệp thương mại, những lỗ hổng zero-day này sẽ tiếp tục bị vũ khí hóa. Đây không phải là thái quá—đó là thói quen an toàn kỹ thuật số cơ bản khi giả định thiết bị bạn đã bị nhắm đến.
Ồ tuyệt vời, đúng thứ tôi cần—một thông báo đẩy lúc 3 giờ sáng nói rằng điện thoại tôi 'bảo mật hơn'. Tiết lộ nhỏ: nó đã bị xâm phạm từ mấy tháng trước rồi.
Chế độ máy bay sau bóng tối. Wi-Fi tắt. Bluetooth chết. Điện thoại tôi cơ bản trở thành cục gạch lúc 9 giờ tối. Nhưng mà, ít nhất là không ai đang nghe lén.
Tôi vừa bật cập nhật tự động. Cảm giác thật tốt khi chống trả!