Hãng điện thoại Trung Quốc Xiaomi bị “tố” cài đặt mã độc trong sản phẩm?

Xiaomi Mi 4 là một trong những chiếc smartphone cao cấp và rất phổ biến của hãng điện thoại Trung Quốc Xiaomi, được ra mắt vào tháng 8 năm ngoái. Hiện chiếc smartphone này đang là tâm điểm chú ý khi các chuyên gia bảo mật phát hiện thấy có mã độc được cài đặt sẵn trên sản phẩm.

Cách đây ít ngày, các chuyên gia của hãng bảo mật Bluebox đã thử nghiệm thực tế chiếc smartphone Xiaomi Mi 4 và tiến hành một vài thử nghiệm trên chiếc smartphone này. Đáng chú ý, các thử nghiệm của Bluebox đã phát hiện một vài ứng dụng độc hại đã được cài đặt sẵn trên chiếc smartphone này, bao gồm một ứng dụng quảng cáo đã tự cải trang thành một ứng dụng của Google, và một ứng dụng độc hại dạng trojan, cho phép các tin tặc kiểm soát điện thoại từ xa...

Bên cạnh đó, các chuyên gia bảo mật của Bluebox cho biết họ phát hiện rất nhiều lỗ hổng bảo mật cho phép các hacker khai thác khi tiến hành kiểm tra lỗi bảo mật trên Xiaomi Mi 4.

Andrew Blaich, trưởng nhóm phân tích bảo mật của Bluebox cho biết thêm Xiaomi Mi 4 sử dụng một phiên bản Android không có chứng nhận của Google do vậy tồn tại nhiều lỗi trên đó. Các chuyên gia bảo mật phát hiện ra nhiều lỗ hổng bảo mật xuát hiện trên các phiên bản Android cũ, cho thấy nền tảng di động mà Xiaomi Mi 4 là một sự kết hợp giữa Android 4.4 KitKat và một phiên bản Android cũ. 

Trên thực tế, Xiaomi Mi 4 sử dụng nền tảng MIUI do Xiaomi phát triển dựa trên nền tảng Android.

Ngay sau khi phát hiện mã độc cài đặt sẵn trên Xiaomi Mi 4, Bluebox đã liên hệ với Xiaomi để phản ánh về tình trạng này. Trước kết quả nghiên cứu của Bluebox, Hugo Barra, Phó Chủ tịch Toàn cầu của Xiaomi đã lên tiếng phủ nhận việc hãng điện thoại Trung Quốc cài đặt sẵn mã độc và cho rằng các chuyên gia của Bluebox đã mua nhầm một thiết bị giả mạo của Xiaomi.

“Chúng tôi chắc chắn rằng thiết bị Bluebox thử nghiệm không sử dụng MIUI ROM chuẩn của chúng tôi, khi mà bản ROM gốc và bản ROM nâng cấp của chúng tôi sẽ không bao giờ được root, và chúng tôi không cài đặt sẵn các dịch vụ như Bluebox tìm thấy trên sản phẩm của họ”, Hugo Barra cho biết trước báo cáo của Bluebox.

“Bluebox có thể đã mua phải một chiếc điện thoại giả mạo, khi họ mua sản pẩm thông qua một cửa hàng bán lẻ tại Trung Quốc. Xiaomi không bán điện thoại thông qua các nhà bán lẻ thứ 3 tại Trung Quốc, mà chỉ thông qua các kênh bán hàng trực tuyến và các nhà cung cấp đã được lựa chọn”, Hugo Barra cho biết thêm.

Barra cũng cho biết thêm Xiaomi sẽ điều tra nguồn gốc của chiếc smartphone phát hiện thấy mã độc, đồng thời khuyên người dùng chỉ nên mua smartphone của Xiaomi tại trang web của hãng cũng như các cửa hàng đối tác chính thức của Xiaomi.

Tuy nhiên, Bluebox lại cảm thấy không hài lòng với phản ứng của Xiaomi.

“Nếu dễ dàng thay đổi thiết bị tại cửa hàng bán lẻ, thì thiết bị cũng có thể bị thay đổi trong quá trình chuyển phát điện thoại, ngay cả khi người dùng đặt mua sản phẩm từ trang web của Xiaomi”, Andrew Blaich nhận xét. Các chuyên gia bảo mật của Bluebox cho rằng nếu smartphone của Xiaomi bị tấn công và thay đổi ở cấp độ bán lẻ, nghĩa là thiết bị sẽ dễ dàng bị tổn hại bởi các cuộc tấn công phức tạp hơn.

Đây không phải là lần đầu tiên Xiaomi trở thành tâm điểm của giới công nghệ và bảo mật vì những nghi vấn liên quan đến bảo mật và theo dõi người dùng.

Trước đó vào tháng 7 năm ngoái, chiếc smartphone Redmi Note của Xiaomi cũng bị phát hiện những dấu hiệu bí mật gửi thông tin của người dùng về máy chủ của Xiaomi tại Trung Quốc. Xiaomi sau đó đã phủ nhận điều này và cho biết đó thực chất là một tính năng trên sản phẩm của hãng và sau đó đã phải phát hành bản nâng cấp phần mềm để hủy bỏ đi chức năng này.