Các ứng dụng ngân hàng hiện có thể yêu cầu cập nhật bảo mật Android gần đây

Bài học chính

• API toàn vẹn Play của Google hiện có thể gắn cờ các thiết bị không có bản cập nhật bảo mật trong hơn một năm, cho phép các nhà phát triển ứng dụng truy cập vào các hoạt động nhạy cảm.
• Nhà phát triển có thể chọn hạn chế các tính năng của ứng dụng đối với các thiết bị được cập nhật tích cực, có khả năng tăng cường bảo mật tổng thể.
• Thay đổi này có thể tác động tiêu cực đến người dùng điện thoại thích hợp có ít hoặc không có bản vá bảo mật hoặc những người muốn mở khóa bộ nạp khởi động và thiết bị root.

Google làm việc liên tục để đảm bảo Android an toàn nhất có thể cho người dùng bình thường, bao gồm cả việc cung cấp cho nhà phát triển những công cụ họ cần để giảm thiểu rủi ro gian lận. Một thay đổi gần đây đối với API Tính toàn vẹn của Play, xác minh tính xác thực của phần mềm và thiết bị để bảo vệ các hoạt động nhạy cảm, giờ đây cho phép các công cụ như ứng dụng ngân hàng nhận ra các thiết bị chưa nhận được bản vá bảo mật Android trong hơn một năm và giảm mức độ tin cậy của chúng , có khả năng hạn chế các tính năng liên quan đến dữ liệu cá nhân quan trọng (thông qua Blog nhà phát triển Android).

Cách nói của nhà phát triển Android, đơn giản hóa

Bản cập nhật tương đối đơn giản có thể tác động đến nhiều người dùng

Bản phát hành chính thức từ các nhà phát triển Android sử dụng thuật ngữ hơi bí truyền, nhưng bản cập nhật thực sự không phức tạp lắm. API Tính toàn vẹn của Play, cho phép các ứng dụng giao tiếp với hệ điều hành, giờ đây cho phép hệ điều hành trả về các kết quả cập nhật khi về cơ bản chương trình hỏi: “Điện thoại này có đủ an toàn để chạy chức năng này không?”

Bản cập nhật phán quyết chính cho phép ứng dụng phản hồi với câu trả lời là “đáp ứng tính toàn vẹn mạnh mẽ”, mặc dù các phản hồi tương tự tồn tại để cho biết điện thoại hoặc máy tính bảng đáp ứng tính toàn vẹn của “thiết bị” hoặc “cơ bản”. Nhãn tính toàn vẹn mạnh hiện xác minh xem thiết bị có nhận được bản cập nhật bảo mật Android trong năm qua hay không – không phải là bản cập nhật ứng dụng hoặc Cửa hàng Play mà là một trong các bản cập nhật hệ thống trên toàn hệ điều hành đến trực tiếp từ nhà sản xuất thiết bị. Vẫn còn phải xem mức độ áp dụng tự nguyện của giao thức nâng cao sẽ rộng rãi như thế nào, nhưng nó có thể sẽ bị giới hạn chủ yếu ở phần mềm tài chính, chính phủ và doanh nghiệp.

Điều này mang lại cho các nhà phát triển lựa chọn để yêu cầu người dùng ứng dụng của họ sử dụng điện thoại và máy tính bảng được cập nhật tích cực. Về lý thuyết, sự thay đổi này có thể tăng cường bảo mật trên diện rộng. Trên thực tế, có khá nhiều người sử dụng phần mềm như dịch vụ fintech liền kề ngân hàng trên điện thoại không còn nhận được bản cập nhật Android. Mặc dù điều đó có thể bao gồm số lượng độc giả tối thiểu của Cảnh sát Android (những người có xu hướng trở thành những người đam mê hiểu biết về hoặc gần với công nghệ tiên tiến), nhưng những người đó vẫn tồn tại. Trên thực tế, một số điện thoại độc đáo và xuất sắc, chẳng hạn như Unihertz Jelly Star nhỏ bé ấn tượng, hiếm khi hoặc không bao giờ nhận được bản cập nhật bảo mật hệ thống đầy đủ.

Bất chấp sự phản đối kịch liệt từ nhiều cộng đồng trực tuyến yêu thích công nghệ, việc thiếu các bản vá gần như không phải là bản án tử hình về bảo mật như khi Android vẫn còn là một hệ điều hành non trẻ. Trong hơn 15 năm tồn tại, Android đã có những cải tiến đáng kể và có mức độ an toàn đáng kể ở thời điểm này. Hơn nữa, Dịch vụ Google Play và các bản cập nhật ứng dụng riêng lẻ tự chúng bao gồm một phần đáng kể các hoạt động khai thác tiềm năng (mặc dù, tất nhiên, không phải mọi phương tiện xâm nhập tiềm ẩn ít người biết đến). Ngoài ra, hầu hết các hoạt động khai thác đều yêu cầu các cuộc tấn công có mục tiêu cụ thể, quyền truy cập vật lý vào thiết bị, lỗi cá nhân trong việc tránh lừa đảo hoặc các trò lừa đảo khác hoặc sự kết hợp nào đó của cả ba.

Tuy nhiên, Android hiện cho phép các nhà phát triển chọn tham gia nhãn bảo mật nâng cao này và việc áp dụng tự động trên toàn nền tảng sẽ ra mắt vào tháng 5 năm 2025. Dù sao đi nữa, Google thì không. yêu cầu các nhà phát triển áp dụng những điều này cho mọi chức năng của ứng dụng nhưng chỉ cho họ quyền lựa chọn. Lựa chọn đó bao gồm khả năng diễn giải phản hồi theo cấp độ: Trong ví dụ về Nhà phát triển Android, một ứng dụng có thể xử lý điện thoại Android 12 khác với điện thoại Android 13 khi phản hồi bằng nhãn mạnh, thiết bị hoặc tính toàn vẹn cơ bản.

Đương nhiên, đó là một thay đổi cụ thể trong số một số thay đổi có liên quan. Tính toàn vẹn của Play giờ đây cũng giúp các ứng dụng dễ dàng thu thập thông tin liên quan đến thiết bị như tính xác thực của APK, trạng thái bật tắt Google Play Protect và liệu các ứng dụng hoặc dịch vụ khác hoặc hoạt động chạy có thể xâm phạm bảo mật bằng cách, chẳng hạn như lén lút ghi lại màn hình.

Phần giải thích về bản cập nhật tập trung vào nhà phát triển cũng ngụ ý rõ ràng rằng Play Integrity ngày càng phụ thuộc nhiều hơn vào bộ tải khởi động nguyên vẹn và có thể xác minh được. Đây là nơi mà những người dùng trung thành của Cảnh sát Android có thể và có lẽ nên nhướng mày. Đối với tất cả các nhà sản xuất thiết bị làm việc đã thực hiện để khóa phần cứng trả phí của người tiêu dùng đằng sau giao diện Android độc quyền, cải tiến bảo mật này có thể là một cái đinh khác trong quan tài ngày càng được niêm phong kỹ càng của các ROM tùy chỉnh – và đây không phải là lần đầu tiên Google can thiệp vào quá trình root, ROM và tùy chỉnh chuyên sâu.