Các cuộc tấn công ban đầu chỉ xuất hiện dưới dạng phần mềm gián điệp nhắm mục tiêu cao, song nhanh chóng cho thấy xu hướng mở rộng phạm vi. Đáng lo ngại hơn, Google thừa nhận các biện pháp bảo vệ hiện chỉ khả dụng trên một số dòng điện thoại nhất định, khiến hàng tỷ người dùng Android đứng trước nguy cơ rủi ro.
Trong thông báo, Google cho biết đã phát hiện “dấu hiệu” cho thấy hai lỗ hổng mang mã CVE-2025-48633 và CVE-2025-48572 “có thể đang bị khai thác có chọn lọc và ở quy mô hạn chế”. Cảnh báo này đã khởi đầu cho một tháng đầy biến động về an ninh mạng, khi Google tiếp tục phát đi cảnh báo tấn công trên trình duyệt Chrome, trước khi Apple cũng lên tiếng cảnh báo gay gắt rằng người dùng iPhone đang là mục tiêu của cùng loại phần mềm gián điệp đánh thuê.
Google đã phát hành bản vá cho hai lỗ hổng nói trên, cùng hàng chục lỗ hổng khác chưa ghi nhận việc bị khai thác trên diện rộng. Tuy nhiên, các bản vá này chỉ áp dụng cho Android 13, 14, 15 và 16, và được chuyển tới các nhà sản xuất thiết bị (OEM) như Samsung để triển khai trên sản phẩm của họ.
Thực tế cho thấy hơn 30% điện thoại Android hiện vẫn chạy Android 12 hoặc các phiên bản cũ hơn. Đây đã là một con số đáng báo động, song tình hình còn nghiêm trọng hơn khi các OEM thường mất nhiều thời gian để tích hợp và phân phối bản vá, khiến ngay cả những thiết bị còn trong diện hỗ trợ cũng đối mặt với nguy cơ bị tấn công. Không ít người dùng cũng chậm trễ trong việc cập nhật, dù bản vá đã sẵn sàng. Đáng lo nhất là khoảng 1 tỷ thiết bị Android đã hết vòng đời hỗ trợ, đồng nghĩa sẽ không bao giờ nhận được các bản vá bảo mật mới.
Hệ điều hành Android đang trở thành mục tiêu của các cuộc tấn công thực tế, với ít nhất hai lỗ hổng bảo mật đã bị khai thác.
Zimperium, một công ty chuyên về bảo mật di động, cảnh báo rằng “tại bất kỳ thời điểm nào trong năm, hơn 50% thiết bị di động đang sử dụng các phiên bản hệ điều hành lỗi thời, và một tỷ lệ đáng kể trong số đó đã bị xâm nhập hoặc nhiễm mã độc”. Trong bối cảnh các cuộc tấn công ngày càng gia tăng, đây rõ ràng không phải là tín hiệu tích cực đối với hệ sinh thái Android.
So với Android, tình hình trên iPhone được đánh giá là khả quan hơn nhờ hệ sinh thái đơn giản và cơ chế cập nhật đồng bộ của Apple, cho phép phát hành bản vá tới mọi người dùng trên toàn cầu cùng lúc. Ước tính khoảng 90% iPhone đang hoạt động hiện nay vẫn chạy các phiên bản iOS được hỗ trợ. Tuy nhiên, những thiết bị đã ngừng nhận cập nhật cũng đối mặt với rủi ro ngày càng lớn. Theo James Maude, chuyên gia của BeyondTrust, dù các cuộc tấn công hiện tại “có vẻ chỉ nhắm tới một số mục tiêu cụ thể”, nhưng chúng “sẽ nhanh chóng trở thành công cụ khai thác phổ biến trong tay nhiều nhóm tấn công mạng”.
Ngay cả với người dùng Android đủ điều kiện cập nhật, quá trình vá lỗi vẫn tồn tại nhiều phức tạp. Theo Security Boulevard, bản cập nhật bảo mật tháng này được chia thành hai cấp độ: cấp đầu tiên xử lý các lỗ hổng cốt lõi của Android, trong khi cấp thứ hai bổ sung các bản vá sâu hơn cho nhân hệ điều hành và các thành phần quan trọng, chỉ được triển khai sau khi nhà sản xuất hoàn tất quá trình tích hợp. Với nhiều người dùng, toàn bộ bản vá không được cài đặt đồng thời, mà đến theo từng giai đoạn.
Tình hình càng thêm rối rắm khi các bản cập nhật bảo mật thông qua Google Play - vốn cũng vá lỗi cho những thành phần quan trọng của Android - bị trì hoãn trong nhiều tháng trên một số thiết bị. Thực tế này tạo ra sự chênh lệch rõ rệt, khi các dòng máy cao cấp, đắt tiền thường được hưởng lợi nhiều hơn về tốc độ và mức độ cập nhật.
Trước bức tranh u ám đó, ngày càng nhiều ý kiến cho rằng Android cần một cuộc cải tổ căn bản về chính sách hỗ trợ và bảo mật. Với khoảng 30% thiết bị đã ngừng được hỗ trợ trong khi các mối đe dọa không ngừng gia tăng, giới chuyên gia cho rằng cần xem xét một cơ chế mở rộng bảo mật quan trọng, tương tự như cách Microsoft từng áp dụng với Windows.
Các cảnh báo an ninh liên tiếp trong tháng 12 đã phơi bày rõ những vấn đề cốt lõi của hệ sinh thái Android, ngay cả khi các cuộc tấn công ban đầu chỉ giới hạn ở một nhóm nhỏ thiết bị. Như Security Boulevard nhận định, việc triển khai bản vá theo từng giai đoạn đã tạo ra một “mô hình quen thuộc nhưng đáng lo ngại”: các lỗ hổng tuy đã được phát hiện và ghi nhận, nhưng vẫn có thể bị khai thác trên quy mô lớn cho đến khi bản cập nhật được phổ biến hoàn toàn.
Và đối với khoảng một tỷ chiếc điện thoại Android đã hết vòng đời hỗ trợ, điều đó đồng nghĩa với một thực tế nghiệt ngã: những bản cập nhật bảo mật cần thiết sẽ không bao giờ đến.
