Dưới đây là bài viết của phóng viên Mike Butcher, được đăng trên trang tin Techcrunch với tựa đề : “No, It’s Samsung, Not Swiftkey, That Is To Blame For This Keyboard Security Scare” (Tạm dịch: Không, lỗi là tại Samsung, không phải tại Swiftkey). Bài viết thể hiện những lập luận và đánh giá mang tính cá nhân của người viết. ICTnews dịch lại bài viết này để độc giả có thêm một góc nhìn về sự việc nửa tỷ người dùng Samsung gặp nguy hiểm.

Báo chí quốc tế đang xôn xao khi công ty Swiftkey bị xướng đích danh ngay trong hội nghị Black Hat vì có liên quan đến một lỗi xuất hiện trên hầu hết smartphone của Samsung. Lỗi nghiêm trọng này có thể cho phép các hacker tấn công vào điện thoại và theo dõi người dùng.

Cuối mùa thu năm ngoái, những nhà nghiên cứu an ninh mạng tại NowSecure đã tìm ra một lỗi trên hầu hết các smartphone Samsung. Mặc dù Samsung đã cam kết với NowSecure từ tháng 3 là sẽ gửi cho các nhà mạng bản vá lỗi và từ đó có thể chuyển cho các thuê bao di động cũng như mong họ không công khai vấn đề này trong vòng ba tháng. Nhưng cuối cùng Samsung đã không làm gì cả. Vì vậy, NowSecure mua hai chiếc điện thoại S6 mới nhất từ hai nhà mạng Verizon và Sprint (Mỹ), họ sửng sốt nhận ra lỗ hổng an ninh vẫn còn đó. Điều này dẫn đến những lời tuyên bố của NowSecure gây chấn động mấy ngày qua.

Công ty Swiftkey tại Anh bị liên đới vào tất cả những vụ việc này do lỗ hổng đó có liên quan đến cách chiếc điện thoại chấp nhận dữ liệu khi cập nhật phần mềm bàn phím. Bàn phím của Swiftkey được nhúng vào nhiều smartphone của Samsung vì trí thông minh nhân tạo của nó có khả năng đoán chữ sắp bấm của người sử dụng chuẩn xác một cách đáng kinh ngạc. Điều đó giúp chúng ta nhắn tin nhanh hơn và đơn giản hơn.

Nhưng liệu đổ lỗi cho Swiftkey có phải là đúng?

Swiftkey không phải là công ty đáng bị đổ lỗi và lỗ hổng này không liên quan gì đến ứng dụng dành cho người dùng của SwiftKey trên Google Play hay Apple App Store. Vì thế ứng dụng SwiftKey của bạn không có gì liên quan đến câu chuyện này.

Dĩ nhiên, công ty này cung cấp cho Samsung công nghệ mấu chốt để tạo nên chiếc bàn phím có khả năng đoán chữ. Nhưng TechCrunch hiểu rằng chính cái cách công cụ của Swiftkey được tích hợp vào các thiết bị của Samsung đã mở đường cho một lỗ hổng an ninh.

Mặc dù vậy, đây là một vấn đề có nguy cơ thấp. Những vấn đề xảy ra trên di động phần lớn là do người sử dụng đã kết nối vào một mạng đã bị xâm nhập (ví dụ như một mạng Wi-Fi công cộng bị làm giả) do các hacker với ý đồ xấu tạo nên.

Trong một tuyên bố, Swiftkey đã nói rằng việc truy cập chỉ có thể xảy ra nếu bàn phím của người sử dụng đang “tiến hành cập nhật ngôn ngữ vào thời điểm cụ thể đó khi đang kết nối với một mạng giả mạo”.

Điều này sẽ hoàn toàn không ảnh hưởng gì đến ứng dụng SwiftKey trên kho Google Play hoặc Apple App Store.

Điểm mấu chốt ở đây là: nguồn tin của Techcrunch cho biết Samsung đã “vọc vạch” vào cách họ triển khai SDK của Swiftkey trên bàn phím trên di động. Vì sao? Vì để họ có thể trao cho hệ thống bàn phím này một số quyền.

Theo lời NowSecure:

“Thật không may cho các OEM và nhà mạng cài sẵn các ứng dụng của bên thứ ba trên một thiết bị. Trong một vài trường hợp, những ứng dụng này được chạy trên một môi trường ưu tiên. Đó chính là trường hợp của bàn phím Swift (sic)trên Samsung… Điều này có nghĩa là chiếc bàn phím đã được ký bằng một khóa riêng tạo chữ ký (private signing key) của Samsung và chạy trên một môi trường được ưu tiên nhất trong thiết bị, system user, và nó đã tạo ra một khe hở để root thiết bị”.

Mặc dù vậy, Swiftkey cũng gặp phải một lỗi: Nó sử dụng HTTP thay vì HTTPS để cập nhật bàn phím. Nhưng dù HTTP hay HTTPS cũng không phải là vấn đề chính. Vấn đề chính là ở quyền của hệ thống, và vấn đề này nằm ở phía Samsung