Niech mi ktoś teraz powie, że TouchWiz nie jest najgorszą rzeczą, jaka przytrafiła się Androidowi (aktualizacja!)
Wystarczy jedna linijka kodu, by zamienić Samsunga Galaxy w bezużyteczną cegłę. Można ją umieścić na stronie internetowej, w kodzie QR czy wysłać poprzez NFC. Wszystkiemu winny Android? Ponownie, pudło. Wina leży wyłącznie po stronie Samsunga.
Luki w zabezpieczeniach oprogramowania nie są niczym nowym i zazwyczaj nie ma się czym ekscytować. Są najczęściej szybko łatane, przynajmniej od szanowanych twórców oprogramowania. A że w ogóle się pojawiają? To również nie jest tak karygodne. Trzeba zrozumieć, że możliwości testerów są fizycznie ograniczone. Deweloper nie jest w stanie wymyślić nieskończonej ilości scenariuszy, które jego oprogramowanie będzie musiało „przetrwać”. Karygodnym zachowaniem jest co najwyżej ociąganie się w opracowaniu aktualizacji i dostarczeniu jej użytkownikom. Tego typu przypadki należy piętnować.
Powyższy akapit tyczy się jednak firm deweloperskich profesjonalnie podchodzących do wykonywanej przez siebie pracy. W ich przypadku usterki w oprogramowaniu dotyczą bardzo nietypowych scenariuszy, takich jak przepełnienie bufora czy SQL injection w wyjątkowych sytuacjach. Natomiast jeżeli gigant, odpowiedzialny za jedną z najpopularniejszych marek na świecie popełnia szkolny błąd, to, niestety, również należy taki przypadek piętnować. Dziś padło na Samsunga.
Firmę Samsung darzę bardzo dużą sympatią, a w sferze marzeń pozostają jej najnowsze ultrabooki. To bardzo, bardzo dobra firma. Długo zwlekałem więc z pisaniem o usterce w smartfonach Galaxy, wierząc, że to jakaś pomyłka, internetowa plotka, która zaraz będzie zdementowana. Niestety, to nie plotka. Haker, jeżeli zna metodę (na szczęście nie została upubliczniona powszechnie w Internecie), może w banalny sposób zmusić telefon do wykonania fabrycznego resetu telefonu, który wymazuje wszystkie dane jego użytkownika. Może też zablokować zainstalowaną w nim kartę SIM.
Co więcej, metoda ataku jest bardzo nieskomplikowana. Nie trzeba nakłaniać nikogo do instalowania czegokolwiek. Ów cały „złośliwy kod” to jedna linijka. Można go umieścić na stronie internetowej, można wysłać poprzez NFC, lub umieścić w kodzie QR. Można go też przesłać… wiadomością tekstową.
Zanim rzucicie się, drodzy Komentatorzy, z widłami na Androida, od razu informuję: Samsung Galaxy Nexus nie jest podatny na ten atak. Czym wyróżnia się on od Galaxy S III, Galaxy S II, Galaxy S Advance, Galaxy Ace czy Galaxy Beam? Nie ma oprogramowania napisanego przez Samsunga. Winę ponosi zmodyfikowany przez tę firmę system Android z TouchWiz. Co jeszcze ciekawsze, podatność na atak wykazują wybrane telefony. Wszystko zależy od wersji oprogramowania. I nie, nowsza nie znaczy lepsza, decyduje tu stopień modyfikacji oprogramowania.
Problem leży w obsłudze kodów USSD, które Android z TouchWiz ochoczo z automatu wykonuje. Są jednak wyjątki. Czytelnicy TheNextWeb w komentarzach donoszą, że jeżeli wykorzystamy przeglądarkę Chrome, zamiast systemowej, jesteśmy bezpieczni. Galaxy S III z Jelly Bean zachowuje się różnie, w zależności od operatora i jego brandingu. Samsung poinformował, że najnowsza kompilacja Jelly Bean dla tego telefonu całkowicie usuwa zagrożenie. Galaxy S III z Ice Cream Sandwich jest z kolei całkowicie podatny na atak. Powstało na tyle duże zamieszanie, że redakcja Android Police doszła do wniosku, że skoro różne wersje TouchWiza się zachowują w różny sposób, problem leży w samym Androidzie. Szczerze wątpię, skoro Galaxy Nexus nie jest podatny oraz smartfony z Androidem od innych producentów.
Jedno jest jednak pewne: tego typu usterki nie powinny mieć miejsca. Samsung jest na dobrej drodze do wypchnięcia iPhone’a z piedestału lidera. Tyle że Apple nigdy nie zaliczył takiej wpadki i, tu skorygujcie mnie w komentarzach jeżeli się mylę, żaden producent telefonów od lat nie mógł się powstydzić aż takiego bubla.
Najgorsze w tym wszystkim jest teraz to, że na aktualizację oprogramowania sobie jeszcze poczekamy. Możemy być pewni, że Samsung wspólnie z Google przygotują łatkę w trymiga. A potem poczekamy na testy operatorów komórkowych… Te mogą potrwać tygodniami, w ekstremalnych przypadkach nawet miesiącami. Użytkownicy iPhone’ów i Windows Phone’ów mogą się uśmiechnąć z pobłażaniem, tak jak „grzebacze” instalujący sobie alternatywne, nieoficjalne wersje Androida. Miliony posiadaczy Galaxy są jednak zagrożone, a przeprowadzenie ataku jest banalnie proste. Może nawet dojść do tego, że grupka uczniaków z liceum będzie wysyłać złośliwe SMS-y gdzie popadnie, jak w końcu ktoś gdzieś opublikuje „exploita”. A wtedy, sfrustrowani użytkownicy, pójdą po iPhone’a, HTC czy Nokię…
Aktualizacja: Według najnowszych doniesień, które cytujecie w komentarzach, problem nie dotyczy Samsunga, a całego Androida. Wygląda na to, że doniesienia są prawdziwe a moje wnioski błędne. Na moje usprawiedliwienie: tekst był pisany wczoraj, dokładnie przeczesałem źródła (linki w samym tekście), doniesień o innych telefonach w momencie pisania nie było. Przepraszam za kilka minut waszego straconego czasu na jego przeczytanie i zachęcam do zapoznania się z dyskusją toczącą się w komentarzach.
Maciek Gajewski jest dziennikarzem, współprowadzi dział aktualności na Chip.pl, gdzie również prowadzi swojego autorskiego bloga.