Trước đây, do tính chất mở của Android nên mỗi khi nghe nói về mã độc hoặc nguy cơ bảo mật di động, người ta thường nghĩ ngay đến hệ điều hành của Google.

Một suy nghĩ phổ biến là smartphone Android không an toàn và bảo mật bằng iPhone do dễ bị mã độc "trà trộn" trong quầy ứng dụng Google Play hơn, cũng như dễ bị hacker tấn công hơn. Ngược lại, do Apple kiểm soát rất chặt chẽ hệ sinh thái iOS nên các mối nguy từ ứng dụng của bên thứ ba đã được hạn chế tối đa.

Thế nhưng theo báo cáo mới nhất từ hai hãng bảo mật di động Checkmarx và AppSec Labs lại phản ánh điều ngược lại:  đại đa số các lỗ hổng ứng dụng phát hiện được lại nằm trong các ứng dụng iOS, và mức độ nghiêm trọng của chúng cũng cao hơn so với lỗ hổng của Android.

"Tư duy truyền thống là Apple kiểm soát chặt quyền của các ứng dụng, cũng như có quy định kiểm tra, xét duyệt ứng dụng ngặt nghèo hơn nên tổng thể iOS sẽ an toàn hơn. Thế nhưng theo ghi nhận của chúng tôi, có tới 40% số lỗ hổng trong các ứng dụng iOS ở mức nguy hiểm hoặc cực kỳ nguy hiểm, so với tỷ lệ chỉ có 36% của Android", đại diện hai hãng bảo mật cho hay.

{keywords}

Báo cáo này không tiết lộ con số ứng dụng độc chính xác nhưng cho biết, số lỗi trung bình của các ứng dụng di động là 9, và các ứng dụng iOS có nhiều lỗi hơn so với Android.

Trong số này, rò rỉ thông tin cá nhân là lỗ hổng phổ biến nhất, chiếm 27% tổng số lỗ hổng được tìm thấy. Xác thực danh tính và tạo quyền là lỗi phổ biến thứ hai với 23%. Khá nhiều lỗ hổng khác cũng được phát hiện như điểm yếu trong cơ chế mã hóa thông tin, tiết lộ các thông tin kỹ thuật như lịch sử hoạt động của ứng dụng....

Các chuyên gia cho biết họ đã test hàng trăm ứng dụng các kiểu, từ ngân hàng, tiện ích, bán lẻ, game cho đến bảo mật. Ngay cả những ứng dụng ngân hàng lớn cũng có lỗ hổng như xác thực lỗi hay rò rỉ dữ liệu, dù trên lý thuyết, các ứng dụng tài chính phải bảo mật hơn các ứng dụng khác. "Không những không bảo mật hơn, chúng tôi thấy chúng chỉ ngang, thậm chí là không an toàn bằng", chuyên gia Amit Ashbel của Checkmarx chỉ ra.

Các lỗ hổng xác thực và tạo quyền được cho là nguy hiểm nhất, bởi 60% trong số đó được xếp hạng cực kỳ nghiêm trọng.

Giải thích cho diễn biến thực tế có phần đi ngược lại so với quan niệm này, ông Ashbel cho rằng, vì Apple kiểm soát chặt ứng dụng iOS và dễ dàng tung ra các bản cập nhật bảo mật tới tất cả người dùng iOS trong một thời gian rất nhanh nên phần nào các nhà lập trình đã chủ quan, ít đầu tư hơn cho khâu bảo mật khi viết code ứng dụng. Ngược lại, do Android phát hành update rất lâu nên giới lập trình lại "tự lực cánh sinh".

Một điều cũng cần cảnh báo nữa là hacker đều biết khâu kiểm duyệt ứng dụng của Apple ngặt nghèo hơn Android, do đó, chúng sẽ tìm kiếm các kênh khác để xâm nhập. "Chúng ta sẽ chứng kiến sự dịch chuyển khi các vụ tấn công nhằm nhiều hơn vào lớp ứng dụng. Khi đó, iOS sẽ bị sơ hở nhiều hơn so với Android".

T.C