Khắc phục lỗ hổng nghiêm trọng StrongBox trong bản cập nhật bảo mật Android mới nhất

Bản cập nhật bảo mật Android mới nhất vừa được Google phát hành nhằm giải quyết hai lỗ hổng bảo mật đáng chú ý. Trong đó, một lỗ hổng có thể gây ra từ chối dịch vụ (DoS) nghiêm trọng và một lỗi khác ảnh hưởng đến StrongBox, thành phần phần cứng quan trọng giúp bảo vệ các khóa mã hóa trên thiết bị.

Cập nhật bảo mật Android

Lỗ hổng DoS trong thành phần Framework

Lỗ hổng đầu tiên được theo dõi với mã định danh CVE-2026-0049, nằm trong thành phần Framework của hệ điều hành Android. Vấn đề này được đánh giá là nghiêm trọng do kẻ tấn công cục bộ có thể khai thác lỗ hổng mà không cần bất kỳ quyền thực thi bổ sung nào cũng như không cần sự tương tác của người dùng.

Nếu khai thác thành công, kẻ tấn công có thể gây ra tình trạng từ chối dịch vụ (DoS), khiến thiết bị gặp sự cố hoặc ngừng hoạt động.

Lỗi bảo mật cao severity trong StrongBox

Lỗ hổng thứ tiêp ảnh hưởng đến StrongBox - giải pháp kho khóa bảo mật được hỗ trợ bởi phần cứng (hardware-backed keystore) của Android. Đây là tính năng cung cấp cấp độ bảo vệ cao hơn cho các khóa mật mã so với việc chỉ sử dụng phần mềm.

StrongBox hoạt động bằng cách lưu trữ và quản lý các khóa bên trong một Secure Element (SE) riêng biệt. Đây là một con chip phần cứng chuyên dụng, chống can thiệp (tamper-resistant), tích hợp bộ xử lý riêng, bộ nhớ cách ly, trình tạo số ngẫu nhiên dựa trên phần cứng và các cơ chế phòng thủ mạnh mẽ chống lại các cuộc tấn công vật lý hoặc qua kênh phụ (side-channel attacks).

Bảo mật Android

Lỗ hổng này được đánh dấu là CVE-2025-48651 và được xếp hạng ở mức độ nghiêm trọng cao (high severity). Tuy nhiên, Google chưa công bố chi tiết cụ thể về tác động của việc khai thác lỗ hổng này. Về mặt lý thuyết, các lỗi trong StrongBox có thể dẫn đến việc trích xuất khóa mã hóa, leo thang đặc quyền hoặc gây ra tình trạng từ chối dịch vụ.

Các chi tiết kỹ thuật chi tiết dự kiến sẽ được cung cấp vào thời điểm sau này. Theo bản tin bảo mật của Android, lỗ hổng CVE-2025-48651 ảnh hưởng đến các triển khai StrongBox từ các nhà cung cấp lớn bao gồm Google, NXP, STMicroelectronics và Thales.

Hiện tại, chưa có bằng chứng cho thấy bất kỳ lỗ hổng nào trong số này đã bị khai thác trong các cuộc tấn công thực tế (in-the-wild). Tuy nhiên, người dùng được khuyến cáo nên cài đặt bản cập nhật bảo mật mới nhất sớm nhất có thể để đảm bảo an toàn cho thiết bị.