Hệ thống bảo mật dựa trên sự cho phép của người dùng (permission-based) trên Android có thể dễ dàng bị qua mặt vì những "lỗ hổng" do các nhà sản xuất smartphone và máy tính bảng để lại khi họ bổ sung vào sản phẩm những ứng dụng của riêng mình. Đó là kết luận trong bản báo cáo do các nhà nghiên cứu Đại học bang Bắc Carolina, Mỹ thực hiện.
HTC Evo 4G
Với các lỗ hổng này, kẻ xấu dùng các ứng dụng độc hại có thể nghe trộm các cuộc thoại mà không để lại dấu vết, ghi nhận các toạ độ GPS "nóng" của người dùng, gửi SMS vào các số điện thoại tính phí và hoàn toàn xoá dữ liệu khỏi bộ nhớ của thiết bị... Những việc như thế không cần đến bất kỳ một sự cho phép nào của người dùng, các nhà nghiên cứu khẳng định.
Các nhà khoa học đã thử nghiệm 8 loại smartphone phổ biến ở thị trường Mỹ gồm HTC Legend, HTC Evo 4G, HTC Wildfire S, Motorola Droid, Motorola Droid X, Samsung Epic 4G, Google Nexus One và Google Nexus S. Kết quả, các nhà nghiên cứu đã phát hiện khả năng bỏ qua 11 trong 13 quy tắc an toàn thông tin khác nhau, trong đó, đặc biệt là smartphone HTC Evo 4G chứa đến 8 lỗ hổng, nhiều nhất trong số các thiết bị được đề cập.
Theo các nhà nghiên cứu, đặc điểm chính của hệ thống bảo mật Android là lệ thuộc vào việc người dùng tự xác định có cho phép ứng dụng truy cập vào các chức năng khác nhau của thiết bị hay không mỗi khi họ thiết lập ứng dụng, và điều này khó đảm bảo tránh được an toàn. Để so sánh, các chuyên gia của Apple luôn kiểm tra từng ứng dụng trước khi đưa vào cửa hàng ứng dụng App Store trong khi Google không thực hiện bước kiểm tra này khi bổ sung các phần mềm ứng dụng vào Android Market.
Các chuyên gia của Đại học Bắc Carolina đã gửi kết quả nghiên cứu cho từng nhà sản xuất có smartphone được thử nghiệm. Tuy nhiên, chỉ có Motorola và Google phản hồi, xác nhận sự tồn tại của các lỗi đã đề cập. Samsung và HTC không phản ứng gì với cuộc nghiên cứu này và có thể là họ chọn cách lờ đi, theo các chuyên gia.
Thời gian gần đây, chủ đề bảo mật với các thiết bị Android được đề cập khá thường xuyên. Theo số liệu của một số nhà phân tích, một phần mười hai ứng dụng cho nền tảng này là độc hại. Còn mới đây, các chuyên gia của Công ty Doctor Web của Nga đã phát hiện một danh sách chính thức hơn 30 ứng dụng có chức năng gửi các SMS đến các số điện thoại tính phí và bằng cách này, "bào mòn" tài khoản người dùng thiết bị di động.
Hồi tháng 6/2011, các chuyên gia của nhà cung cấp giải pháp bảo mật lớn nhất Symantec đã kết luận rằng Android có mức độ bảo mật thấp. Khác với iOS, nền tảng của Google bị cho là hầu như bất lực trước các cuộc tấn công của phần mềm độc hại cũng như kém tin cậy trong việc bảo vệ dữ liệu.
Theo PC World VN