Google đã công bố mở rộng Chương trình Bảo vệ Nâng cao (Advanced Protection Program – APP) của mình lên Chrome trên Android, cung cấp các tính năng bảo mật tăng cường được thiết kế đặc biệt cho những người dùng có rủi ro cao, bao gồm nhà báo, quan chức được bầu cử và các nhân vật của công chúng. Tùy chọn cài đặt bảo mật cấp độ thiết bị mới này, khả dụng trên Android 16 với Chrome 137+, mang đến khả năng bảo vệ toàn diện chống lại các mối đe dọa mạng tinh vi thông qua ba cải tiến bảo mật cốt lõi.
Sự tích hợp của Advanced Protection là một bước tiến quan trọng trong bảo mật di động, hoạt động như một điểm kiểm soát tập trung cho những người dùng có nguy cơ cao đang đối mặt với các thách thức bảo mật ngày càng gia tăng. Theo Đội ngũ Bảo mật Chrome, sáng kiến này nhằm đáp ứng nhu cầu ngày càng tăng về các biện pháp bảo mật mạnh mẽ hơn trong bối cảnh kỹ thuật số ngày càng thù địch. Hệ thống Advanced Protection triển khai ba biện pháp bảo mật quan trọng trong Chrome trên Android.
Các Cải Tiến Bảo Mật Chính
Chương trình Bảo vệ Nâng cao trên Chrome Android tập trung vào ba trụ cột kỹ thuật để tăng cường đáng kể khả năng phòng thủ của người dùng trước các cuộc tấn công phức tạp. Các cải tiến này được thiết kế để giảm thiểu bề mặt tấn công và bảo vệ dữ liệu nhạy cảm khỏi bị truy cập hoặc thao túng trái phép.
1. Luôn Sử Dụng Kết Nối An Toàn (Always Use Secure Connections)
Biện pháp đầu tiên là tự động kích hoạt cài đặt “Always Use Secure Connections”. Tính năng này yêu cầu Chrome sử dụng giao thức HTTPS cho tất cả các kết nối, áp dụng cho cả các trang web công cộng lẫn riêng tư. Giao thức HTTPS (Hypertext Transfer Protocol Secure) là phiên bản bảo mật của HTTP, sử dụng mã hóa Transport Layer Security (TLS) để bảo vệ dữ liệu truyền tải giữa trình duyệt của người dùng và máy chủ web. Việc mã hóa này ngăn chặn những kẻ tấn công tiềm tàng nghe lén (eavesdropping), chặn đứng (interception) hoặc giả mạo (tampering) dữ liệu.
Tính năng này đặc biệt quan trọng trong việc bảo vệ người dùng khỏi các cuộc tấn công trung gian (Man-in-the-Middle – MitM), nơi kẻ tấn công có thể chặn và đọc hoặc sửa đổi dữ liệu không được mã hóa truyền qua các kết nối HTTP không an toàn. Bằng cách ép buộc sử dụng HTTPS, tính năng này đảm bảo rằng mọi dữ liệu nhạy cảm, từ thông tin đăng nhập đến dữ liệu cá nhân, đều được mã hóa trong quá trình truyền tải, làm tăng cường tính bảo mật và quyền riêng tư của người dùng. Ngoài ra, nó cũng giúp ngăn chặn việc kẻ tấn công tiêm mã độc hoặc nội dung độc hại vào các kết nối HTTP không an toàn. Đáng chú ý, các kết nối HTTP không an toàn hiện chỉ chiếm chưa đến 1% tổng số lượt tải trang đối với người dùng Chrome trên Android, cho thấy sự chuyển đổi rộng rãi sang HTTPS.
2. Cô Lập Toàn Bộ Trang Web (Full Site Isolation)
Cải tiến thứ hai là việc triển khai Full Site Isolation trên các thiết bị di động có 4GB RAM trở lên. Site Isolation là một tính năng bảo mật kiến trúc giúp bảo vệ trình duyệt khỏi các lỗ hổng bảo mật dựa trên web, đặc biệt là các cuộc tấn công xuyên trang (cross-site attacks) và các cuộc tấn công kênh phụ (side-channel attacks) như Spectre và Meltdown.
Với Site Isolation, mỗi trang web mà người dùng truy cập được tải trong một tiến trình riêng biệt và được sandbox hoàn toàn. Điều này có nghĩa là ngay cả khi một trang web độc hại tìm cách khai thác lỗ hổng trong trình duyệt hoặc render engine (như V8), nó vẫn bị giới hạn trong tiến trình của riêng mình và không thể truy cập dữ liệu hoặc tài nguyên từ các trang web hợp pháp đang chạy trong các tiến trình khác. Điều này cung cấp một lớp bảo vệ bổ sung đáng kể chống lại việc rò rỉ dữ liệu xuyên trang (cross-site data leakage), đảm bảo rằng dữ liệu nhạy cảm từ các trang web ngân hàng hoặc email của người dùng không thể bị truy cập bởi một trang web độc hại.
Mặc dù các máy khách Chrome trên máy tính để bàn đã được hưởng lợi từ Full Site Isolation trong một thời gian, việc triển khai toàn diện tính năng này trên các nền tảng di động cho người dùng Advanced Protection đánh dấu một cột mốc quan trọng trong việc tăng cường bảo mật di động. Nó thể hiện cam kết của Google trong việc mang các tiêu chuẩn bảo mật cấp cao nhất đến các thiết bị di động, nơi mà nguy cơ tấn công mạng ngày càng gia tăng.
3. Vô Hiệu Hóa Tối Ưu Hóa JavaScript
Biện pháp bảo mật thứ ba liên quan đến việc vô hiệu hóa các tối ưu hóa JavaScript cấp cao hơn. Mục tiêu của biện pháp này là giảm đáng kể bề mặt tấn công (attack surface) của Chrome. JavaScript engine V8 của Google, chịu trách nhiệm thực thi mã JavaScript trong Chrome, thường sử dụng các trình biên dịch tối ưu hóa (optimizing compilers) để tăng hiệu suất. Tuy nhiên, quá trình tối ưu hóa này có thể vô tình tạo ra các lỗ hổng hoặc các điểm yếu mà những kẻ tấn công có thể khai thác.
Bằng cách tắt các trình biên dịch tối ưu hóa cấp cao hơn trong V8, hệ thống trở nên khó khai thác hơn đáng kể. Mặc dù việc này có thể ảnh hưởng nhẹ đến hiệu suất của các trang web nặng về JavaScript, nhưng lợi ích về bảo mật là rất lớn. Dữ liệu lịch sử cho thấy biện pháp này có thể đã giúp giảm thiểu khoảng 50% các lỗi bảo mật đã được vá trong V8 mà đã biết có khai thác thực tế. Điều này cho thấy rằng một phần đáng kể các cuộc tấn công khai thác lỗ hổng trong JavaScript engine có thể được ngăn chặn chỉ bằng cách giảm độ phức tạp và bề mặt tấn công của trình biên dịch.
Việc đánh đổi giữa hiệu suất và bảo mật là một quyết định chiến lược, và trong trường hợp của Advanced Protection Program, ưu tiên rõ ràng là tối đa hóa bảo mật cho người dùng có rủi ro cao, những người thường là mục tiêu của các cuộc tấn công tinh vi và có động cơ cao.
Mở Rộng Khả Năng Áp Dụng và Chính Sách Doanh Nghiệp
Các tính năng của Advanced Protection không chỉ giới hạn riêng cho những người tham gia chương trình này. Google đã và đang dần mở rộng các biện pháp bảo mật này cho toàn bộ cơ sở người dùng của mình, cho thấy một xu hướng chung nhằm nâng cao bảo mật cho tất cả mọi người.
Cụ thể, Google đã lặng lẽ kích hoạt tính năng “Always Use Secure Connections” trong Chế độ Ẩn danh (Incognito Mode) kể từ Chrome 127 vào tháng 6 năm 2024. Điều này đảm bảo rằng ngay cả khi duyệt web ở chế độ riêng tư, người dùng vẫn được bảo vệ bởi kết nối HTTPS bắt buộc. Ngoài ra, kể từ Chrome 133 vào tháng 1 năm 2025, Chrome đã tự động ngăn chặn việc hạ cấp kết nối từ HTTPS xuống HTTP trên các trang web thường xuyên truy cập, một biện pháp phòng ngừa quan trọng chống lại các cuộc tấn công bỏ qua (downgrade attacks) có thể buộc trình duyệt sử dụng kết nối kém an toàn hơn.
Đối với người dùng doanh nghiệp, các cài đặt bảo mật này cũng có thể được triển khai thông qua các chính sách cụ thể, cho phép các tổ chức bảo vệ hệ thống thiết bị của họ trong khi vẫn duy trì sự linh hoạt trong hoạt động. Điều này là đặc biệt quan trọng đối với các doanh nghiệp cần kiểm soát chặt chẽ môi trường điện toán của mình và áp dụng các chính sách bảo mật đồng bộ trên toàn bộ đội ngũ. Các kiểm soát tối ưu hóa JavaScript cũng có sẵn thông qua các chính sách doanh nghiệp hỗ trợ cả danh sách cho phép (allowlists) và danh sách từ chối (denylists) cho các trang web khác nhau. Điều này cho phép các quản trị viên IT tinh chỉnh các cài đặt bảo mật để phù hợp với nhu cầu cụ thể của tổ chức, cho phép tắt tối ưu hóa JavaScript trên các trang web có rủi ro cao hoặc cho các nhóm người dùng nhất định, trong khi vẫn cho phép tối ưu hóa trên các trang web nội bộ hoặc đáng tin cậy.
Khuyến Nghị Tổng Thể
Google khuyến nghị những người dùng dễ bị tổn thương nên kết hợp Advanced Protection cho Chrome trên Android với việc đăng ký Chương trình Bảo vệ Nâng cao cho tài khoản Google của họ. Cách tiếp cận toàn diện này đòi hỏi sử dụng các phương pháp xác thực đa yếu tố (multi-factor authentication – MFA) có khả năng chống lừa đảo (phishing-resistant), chẳng hạn như khóa bảo mật phần cứng (security keys). Khi được kích hoạt, Chương trình Bảo vệ Nâng cao sẽ bảo vệ toàn bộ các thiết bị Android của người dùng, không chỉ riêng Chrome.
Công ty nhấn mạnh tầm quan trọng của việc duy trì cập nhật tự động và giữ cho các thiết bị Android và trình duyệt luôn được cập nhật với các bản vá bảo mật mới nhất. Việc này là cực kỳ quan trọng vì các bản cập nhật thường bao gồm các bản sửa lỗi cho các lỗ hổng bảo mật đã biết, giúp bảo vệ người dùng khỏi các mối đe dọa mới nhất. Sự kết hợp giữa các tính năng bảo mật tiên tiến của Chrome, chính sách cấp tài khoản của Advanced Protection Program và việc tuân thủ các thực hành bảo mật tốt nhất tạo nên một lớp phòng thủ mạnh mẽ chống lại các cuộc tấn công mạng tinh vi.
