Nhóm nghiên cứu bảo mật Dark Navy vừa công bố đã khai thác thành công quyền root trên một số mẫu Galaxy S26 trang bị chip Exynos 2600 — flagship mới nhất của Samsung. Điều đáng chú ý hơn là exploit này được phát triển với sự hỗ trợ của AI thông qua hội thoại ngôn ngữ tự nhiên, đánh dấu một xu hướng mới trong nghiên cứu bảo mật di động.
Dark Navy khai thác root Galaxy S26 Exynos như thế nào?
Trên nền tảng X (Twitter), Dark Navy xác nhận đã giành được quyền root trên Galaxy S26 chạy chip Exynos 2600 — dòng flagship mới nhất từ Samsung. Exploit này có thể được kích hoạt từ ngữ cảnh ứng dụng thông thường (APP context), không yêu cầu điều kiện đặc biệt nào về phần cứng hay phần mềm bổ sung.
"We obtained root privilege on the S26 (Exynos 2600 Chipset), the latest flagship smartphone from Samsung."
Theo Android Authority, đây là một trong những exploit root đáng chú ý nhất được công bố kể từ khi Samsung liên tục tăng cường khóa chặt thiết bị trong các năm gần đây. Nhóm nghiên cứu cũng xác nhận đã chạy thành công Magisk — công cụ quản lý root phổ biến nhất trên Android — trên Galaxy S26 phiên bản Exynos.
Cần lưu ý rằng exploit này chỉ được xác nhận trên một số mẫu Galaxy S26 dùng Exynos 2600, không bao gồm Galaxy S26 Ultra (dự kiến dùng Snapdragon 8 Elite Gen 5 trên toàn cầu). Phạm vi cụ thể của các mẫu bị ảnh hưởng chưa được làm rõ hoàn toàn.
AI tham gia phát triển exploit — xu hướng mới đáng theo dõi
Điểm nổi bật không kém phần quan trọng là phương pháp phát triển: Dark Navy cho biết exploit được tạo ra thông qua "nhiều lần hội thoại ngôn ngữ tự nhiên" với AI. Video minh họa được công bố cho thấy exploit được kích hoạt qua một ứng dụng đơn giản.
Trước đây, nghiên cứu bảo mật đòi hỏi chuyên môn sâu và hàng trăm giờ phân tích. Việc AI có thể hỗ trợ rút ngắn quy trình này — dù chỉ một phần — là tín hiệu mà cả cộng đồng bảo mật lẫn các nhà sản xuất thiết bị cần theo dõi sát. Đây không phải lần đầu AI được nhắc đến trong bối cảnh nghiên cứu lỗ hổng, nhưng là một trong những trường hợp được công bố công khai với bằng chứng cụ thể nhất.
Exynos 2600: Con chip bảo mật nhất của Samsung lại bị khai thác đầu tiên
Exynos 2600 là chip di động đầu tiên trên thế giới sử dụng tiến trình 2nm GAA, với cấu hình CPU gồm nhân Cortex-C1 Ultra 3.8GHz × 1, C1 Pro 3.25GHz × 3 và C1 Pro 2.75GHz × 6, cùng GPU Xclipse 960. Samsung công bố hiệu năng CPU tăng tới 39% và GPU tăng gấp đôi so với thế hệ trước.
| Thông số | Chi tiết |
|---|---|
| Tiến trình | 2nm GAA |
| CPU | Cortex-C1 Ultra 3.8GHz ×1 / C1 Pro 3.25GHz ×3 / C1 Pro 2.75GHz ×6 |
| GPU | Xclipse 960 |
| Cải tiến hiệu năng | CPU +39%, GPU ×2 so với thế hệ trước |
Đáng chú ý, Samsung đã tích hợp vào Exynos 2600 các tính năng bảo mật phần cứng tiên tiến, bao gồm hỗ trợ mã hóa hậu lượng tử (post-quantum cryptography). Việc chính con chip được Samsung quảng bá là bảo mật nhất lại là mục tiêu đầu tiên bị khai thác root là một nghịch lý đáng suy ngẫm với cộng đồng nghiên cứu bảo mật.
Theo kế hoạch phân phối, Galaxy S26 và S26+ sẽ dùng Exynos 2600 tại hầu hết các thị trường (ngoại trừ Canada, Trung Quốc và Mỹ), trong khi Galaxy S26 Ultra dùng Snapdragon 8 Elite Gen 5 trên toàn cầu. Điều này có nghĩa là người dùng Galaxy S26 và S26+ tại Việt Nam nhiều khả năng sẽ sở hữu phiên bản Exynos 2600 — tức là phiên bản nằm trong phạm vi bị ảnh hưởng bởi exploit này.
Knox, e-fuse và những gì người dùng thực sự mất khi root
Root trên Samsung không đơn giản như trên nhiều thiết bị Android khác, do hệ thống bảo mật Samsung Knox hoạt động ở nhiều tầng:
- E-fuse: Khi phát hiện bootloader hoặc kernel không được Samsung ký, hoặc khi root được thực thi, một cầu chì điện tử sẽ "nổ" và ghi lại vĩnh viễn. Không thể đặt lại dù flash lại firmware.
- Knox Workspace & Secure Folder: Sau khi e-fuse kích hoạt, các tính năng này ngừng hoạt động hoàn toàn.
- Samsung Pay và ứng dụng ngân hàng: Nhiều ứng dụng tài chính dùng Knox Attestation API để phát hiện thiết bị đã root và từ chối khởi động.
- Realtime Kernel Protection (RKP) và Periodic Kernel Measurement (PKM): Hai lớp bảo vệ runtime phát hiện và chặn can thiệp vào kernel ngay trong lúc hệ thống đang chạy.
Phiên bản Knox năm 2026 còn tích hợp thêm module phòng thủ dựa trên AI, có khả năng nhận diện các mẫu system call bất thường ngay trên thiết bị. Đây là lý do tại sao dù exploit đã được xác nhận, rào cản để ứng dụng rộng rãi vẫn còn rất cao.
Người dùng Galaxy S26 tại Việt Nam cần làm gì?
Ở thời điểm hiện tại, đây vẫn là báo cáo từ cộng đồng nghiên cứu bảo mật, chưa phải mối đe dọa trực tiếp với người dùng phổ thông. Tuy nhiên, có một số điểm cần lưu ý:
- Cập nhật phần mềm ngay khi có: Samsung nhiều khả năng sẽ vá lỗ hổng này qua bản cập nhật bảo mật. Người dùng nên bật cập nhật tự động hoặc kiểm tra thường xuyên trong Cài đặt → Cập nhật phần mềm.
- Không thử nghiệm exploit từ nguồn không rõ ràng: Root hóa thiết bị sẽ vô hiệu hóa bảo hành chính hãng và Knox, đồng thời mở ra rủi ro bảo mật nghiêm trọng nếu ứng dụng độc hại lợi dụng quyền root.
- Ứng dụng ngân hàng và thanh toán: Các ứng dụng như MoMo, ZaloPay, VNPay, cùng ứng dụng ngân hàng nội địa thường từ chối hoạt động trên thiết bị đã root — đây là rủi ro thực tế với người dùng Việt Nam.
Thông tin về bản vá bảo mật cụ thể từ Samsung chưa được công bố tại thời điểm bài viết này.
Nguồn
- Android Authority — Some Galaxy S26 models just received a root exploit (and Magisk)
- Android Central — Meet the Exynos 2600: Samsung's major leap in chipset technology for Galaxy S26
- Croma Unboxed — Exynos 2600 launched with meaning upgrades
