Google đang triển khai những cải tiến bảo mật quan trọng cho người dùng Android, giải quyết các lỗ hổng cơ bản trong cách chúng ta bảo vệ thiết bị và tài khoản trực tuyến. Với hàng tỷ mật khẩu đã bị xâm phạm đang lưu hành trên các diễn đàn tội phạm, những cập nhật này xuất hiện vào thời điểm quan trọng đối với bảo mật di động.
Chuyển đổi Tự động từ Mật khẩu sang Passkey
Google đang giới thiệu một tính năng đột phá sẽ tự động chuyển đổi mật khẩu truyền thống sang passkey an toàn hơn cho người dùng Android. Được phát hiện trong quá trình phân tích mã của Google Play Services phiên bản 25.19.31 beta, chức năng này dường như đã hoạt động cho một số người dùng. Hệ thống sẽ nâng cấp liền mạch thông tin đăng nhập trang web và ứng dụng hiện có sang passkey ở bất cứ nơi nào hỗ trợ, mà không yêu cầu sự cho phép rõ ràng từ người dùng.
Động thái này thể hiện một bước tiến quan trọng hướng tới việc loại bỏ hoàn toàn mật khẩu, vốn từ lâu được coi là mắt xích yếu trong bảo mật kỹ thuật số. Passkey cung cấp khả năng bảo vệ vượt trội chống lại các cuộc tấn công lừa đảo và rò rỉ dữ liệu, đồng thời mang đến trải nghiệm xác thực thuận tiện hơn. Đối với người dùng muốn kiểm soát nhiều hơn đối với quá trình chuyển đổi này, Google đã bao gồm tùy chọn để vô hiệu hóa tính năng chuyển đổi tự động.
Các Cập Nhật Bảo Mật Quan Trọng Cho Android:
- Tự động chuyển đổi mật khẩu thành passkey ( Google Play Services v25.19.31 beta)
- Buộc khởi động lại thiết bị sau 3 ngày không hoạt động (Sẽ có vào tháng 4 năm 2025)
- Yêu cầu truy cập chỉ bằng mã PIN sau khi khởi động lại bắt buộc
- Duy trì kết nối mạng sau khi khởi động lại vì lý do bảo mật để theo dõi thiết bị
Khởi động lại Bắt buộc vì Lý do Bảo mật
Trong một bản cập nhật tập trung vào bảo mật khác sẽ ra mắt trong bản phát hành Google System tháng 4 năm 2025, các thiết bị Android sẽ tự động khởi động lại sau ba ngày liên tiếp không hoạt động. Thay đổi tưởng chừng đơn giản này mang lại hai lợi ích bảo mật đáng kể.
Thứ nhất, nó buộc người dùng phải nhập mã PIN khi khởi động lại, vì các phương thức xác thực sinh trắc học không khả dụng ngay sau khi khởi động lại. Điều này tạo ra một rào cản bổ sung cho việc truy cập trái phép vào thiết bị. Đối với người dùng không có bất kỳ biện pháp bảo vệ mở khóa nào (một thói quen rủi ro), điều này bổ sung một lớp bảo mật có ý nghĩa.
Thứ hai, và có lẽ quan trọng hơn về mặt kỹ thuật, bản cập nhật tận dụng sự khác biệt giữa hai trạng thái khóa của điện thoại: Trước Lần Mở Khóa Đầu Tiên (BFU) và Sau Lần Mở Khóa Đầu Tiên (AFU). Trong trạng thái BFU, thông tin thiết bị được mã hóa an toàn và không thể truy cập ngay cả đối với các công cụ trích xuất tinh vi. Điều này tạo ra một cửa sổ cơ hội hẹp hơn cho bất kỳ ai cố gắng truy cập thiết bị mà không được phép, bao gồm cả các cơ quan thực thi pháp luật có thể đã thu giữ điện thoại làm bằng chứng.
Duy trì Kết nối Sau Khi Khởi động lại
Một khía cạnh quan trọng của tính năng khởi động lại bắt buộc là các thiết bị sẽ duy trì kết nối với mạng Wi-Fi hoặc dữ liệu di động ngay cả sau khi khởi động lại. Điều này đảm bảo rằng các dịch vụ định vị vẫn hoạt động nếu thiết bị bị mất hoặc bị đánh cắp, cho phép chủ sở hữu theo dõi thiết bị bị mất của họ bất chấp các biện pháp bảo mật tăng cường.
Việc triển khai này tương tự như một tính năng mà Apple đã giới thiệu cho iPhone vào năm ngoái, cho thấy sự công nhận trên toàn ngành về nhu cầu các biện pháp bảo mật mặc định mạnh mẽ hơn trên thiết bị di động.
Tính khả dụng và Triển khai
Tính năng chuyển đổi passkey hiện đang xuất hiện trong phiên bản beta của Google Play Services, trong khi chức năng khởi động lại tự động được lên lịch cho bản phát hành vào tháng 4 năm 2025. Vì cả hai tính năng đều được cung cấp thông qua Google Play Services thay vì các bản cập nhật hệ thống đầy đủ, người dùng sẽ nhận được chúng tự động mà không cần phải cập nhật hệ điều hành theo cách thủ công.
Tính năng khởi động lại tự động sẽ áp dụng cho điện thoại và máy tính bảng Android nhưng không áp dụng cho các thiết bị đeo như Pixel Watch, tivi hoặc thiết bị Android Auto. Google vẫn chưa làm rõ liệu người dùng có thể tùy chỉnh ngưỡng không hoạt động ba ngày hoặc vô hiệu hóa hoàn toàn tính năng này hay không.
Những cập nhật này là một phần trong nỗ lực rộng lớn hơn của Google nhằm tăng cường bảo mật cho người dùng, gần đây bao gồm việc giới thiệu các cảnh báo được hỗ trợ bởi AI cho các thông báo Android độc hại và các bản vá bảo mật quan trọng cho trình duyệt Chrome. Khi các mối đe dọa mạng tiếp tục phát triển, những biện pháp chủ động này đại diện cho một bước quan trọng trong việc bảo vệ hàng tỷ người dùng Android trên toàn thế giới.