Một dòng điện thoại của Huawei có bán tại Việt Nam. (Ảnh minh họa: T.H/Vietnam+)

Chuyên gia cho rằng, nhà sản xuất phải công bố bản vá và chi tiết danh sách những dòng sản phẩm có nguy cơ bị hacker tấn công khai thác lỗ hổng để giúp người dùng khắc phục trước các mối đe dọa an ninh mạng.

Ẩn họa từ lỗ hổng được công khai

Như Báo điện tử VietnamPlus đã thông tin, một báo cáo bảo mật từ nhà chức trách cho biết, một số sản phẩm của các nhà sản xuất đã xuất hiện lỗ hổng bảo mật. Đáng chú ý trong đó có nhóm 10 lỗ hổng trên một số sản phẩm (gồm điện thoại thông minh, thiết bị mạng) của Huawei.

[Điện thoại Huawei dính lỗ hổng bảo mật, nguy cơ bị hacker tấn công]

Trao đổi bên lề Diễn tập An toàn thông tin mạng WhiteHat Drill 05, ông Ngô Tuấn Anh, Phó Chủ tịch phụ trách An ninh mạng của Bkav khẳng định, đối với bất kỳ phần mềm nào, đặc biệt là các phần mềm chạy trên thiết bị cá nhân thì yếu tố về đảm bảo an ninh trong các bản vá rất quan trọng. Bởi lẽ, hacker tấn công thiết bị đều thông qua lỗ hổng.

"Lỗ hổng là điểm yếu trên phần mềm. Giống như ngôi nhà có các cửa đều được thiết kế để chống kẻ trộm, nhưng khi xây mà cửa tum lỏng lẻo thì kẻ trộm sẽ lợi dụng để chui vào," ông Tuấn Anh lý giải.

Theo vị chuyên gia này, có thể ngay từ đầu, nhà sản xuất không biết có lỗ hổng đó, cũng như kiến trúc sư không biết cửa tum bị hở. Trong quá trình sử dụng, khi phát hiện ra lỗ hổng thì nhà sản xuất sẽ phải chủ động đưa ra bản vá vá lỗ hổng lại. Và, về nguyên tắc, phải có hướng dẫn để cho người sử dụng xử lý lỗ hổng nhanh chóng nhất.

Thực tế trong các thiết bị nói chung, có hệ thống có tự động cập nhật bản vá, có hệ thống không tự động cập nhật. Do đó, phía nhà sản xuất phải hướng dẫn một cách tường minh cho người sử dụng cập nhật để tránh những tấn công từ hacker, nhất là những lỗ hổng và nguy cơ đã được công bố rộng rãi và công khai.

“Theo dõi của chúng tôi cho thấy, khi bất kỳ khi lỗ hổng an ninh nào được công bố thì hacker cũng chạy đua với thời gian thử nghiệm khai thác lỗ hổng đó và tiến hành các chiến dịch tấn công về phía người sử dụng. Do đó nhà sản xuất, người sử dụng không nhanh chóng cập nhật, xử lý trực tiếp trên thiết bị của mình thì sẽ đứng trước nguy cơ bị tấn công trực tiếp,” ông Tuấn Anh chia sẻ.

Thông báo tên thiết bị có lỗ hổng

Thông tin tới chúng tôi, đại diện truyền thông bộ phận smartphone của Huawei cho biết hãng đã có bản vá để người dùng cập nhật online. Thông tin bản vá luôn được cập nhật trên website và điện thoại, phần mềm/ứng dụng sẽ có thông báo bản cập nhật để người dùng cài đặt.

Tuy nhiên, phía nhà sản xuất tới từ Trung Quốc chưa trả lời câu hỏi về số lượng sản phẩm bán ra tại Việt Nam cũng như tên các dòng thiết bị có nguy cơ bị tấn công.

[Lầu Năm Góc cấm bán điện thoại Huawei, ZTE trong các căn cứ quân sự]

Thực tế cũng cho thấy, nhiều người dùng mua các thiết bị tầm trung hoặc thấp hơn thường có tâm lý tắt bản cập nhật tự động để tránh thiết bị chậm hơn sau khi nâng cấp. Điều này sẽ khiến thiết bị của họ trở thành mồi ngon của hacker nếu không biết thiết bị của mình đang có vấn đề và chủ động bật lại tính năng này.

Trả lời câu hỏi về viêc nhà sản xuất có nên công bố tên thiết bị có khả năng bị tấn công để người dùng biết mà phòng tránh hay không, ông Tuấn Anh cho rằng, về nguyên tắc chung, khi các sản phẩm có lỗ hổng, có nguy cơ ảnh hưởng tới người sử dụng thì nhà sản xuất phải công bố chi tiết danh sách dòng sản phẩm nào có những nguy cơ như vậy để hướng dẫn cho mọi người khắc phục.

Ông Tuấn Anh đưa ra ví dụ thời gian gần đây trên dòng chip CPU của Intel có lỗ hổng, hãng đã công bố từng dòng, từng phiên bản có lỗ hổng ra sao, cách khắc phục thế nào và cho rằng "về nguyên tắc phải làm như vậy để bảo đảm an toàn cho người sử dụng."

Tuy nhiên, vị chuyên gia này cũng khuyến cáo người sử dụng cần để chế độ tự động cập nhật bản bá mới nhát của nhà sản xuất để tránh khả năng bị tấn công khai thác khi thiết bị có lỗ hổng.

Trong khi đó, Phó Cục trưởng Cục An toàn thông tin (thuộc Bộ Thông tin và Truyền thông) Nguyễn Huy Dũng cho hay, các lỗ hổng đã biết và chưa biết vẫn xuất hiện hàng ngày và các đơn vị chức năng liên tục đưa ra cảnh báo. Thông lệ chung là các hãng công nghệ cũng công bố lỗ hổng đã phát hiện và kèm theo bản vá.

Về chuyện công bố tên thiết bị có lỗ hổng, ông Dũng cho rằng bất kỳ doanh nghiệp nào đưa ra sản phẩm ra thị trường, phát hiện ra lỗ hổng trên thiết bị của mình đề cần phải công bố và khuyến nghị cụ thể cho người sử dụng./.

Ông Ngô Tuấn Anh, Phó Chủ tịch Phụ trách An ninh mạng của Bkav cho rằng, nhà sản xuất cần công bố chi tiết danh sách thiết bị dính lỗ hổng.