Eksperci ds. bezpieczeństwa udostępnili aplikację szukającą dziur w Androidzie. Pobierzesz ją za darmo
Niedawno słyszeliśmy o dość przerażającej usterce „Stagefright”, która pozwala przejąć kontrolę nad dowolnym sprzętem z Androidem za pomocą jednego MMS-a. Ile jeszcze kryje się takich niespodzianek? Część z nich nawet nie ma nic wspólnego z Googlem.
Czemu „Stagefright” jest tak przerażająca? Bo pozwala włamywaczowi na daleko idące działania bez naszej wiedzy, a na dodatek większość posiadaczy urządzeń z Androidem najprawdopodobniej nigdy nie dostanie aktualizacji usuwającej ten problem. Spokojnie mogą spać tylko posiadacze urządzeń Nexus oraz ci z nas, którzy są szczęśliwymi posiadaczami relatywnie nowych telefonów topowych producentów z wyżej półki.
Android to w swoich początkach desperacka próba powstrzymania Apple’a. System pierwotnie projektowany z myślą o aparatach cyfrowych, później o smartfonach z klawiaturą i wreszcie na dotykowe telefony miał potężnego asa w rękawie: otwartość. Stał się wielką pokusą dla producentów telefonów i operatorów. Ci nie mogą stosować iOS-a do własnych celów, a współpracując z Microsoftem ograniczali się do roli jego klientów. Android pozwalał na dowolne jego przerabianie, integrowanie własnych usług i projektów interfejsu.
Plan się powiódł. Android to dziś dominująca siła na rynku urządzeń mobilnych, zostawiająca daleko w tyle Microsoft i Apple jeżeli chodzi o udziały rynkowe. W znacznej mierze dzięki swojej otwartości. Teraz ta zaczyna się na nim mścić. Nie tylko dlatego, że partnerzy Google’a i partnerzy tych partnerów traktują swoich klientów bez odrobiny szacunku i uznają, że testowanie i wdrażanie aktualizacji jest dla nich finansowo nieopłacalne.
Nie ma „jednego” Androida
I nie mam tu na myśli jego kolejnych edycji jak KitKat czy Lollipop. Android jest przeprojektowywany przez większość producentów telefonów, trzymających się tylko pewnych wytycznych Google’a (wymagane, by zyskać certyfikat) oraz zgodności API. Mamy więc Androida z Sense, Androida TouchWiz, Android Emotion i wiele, wiele innych (nazwy zmyśliłem na podstawie nazw przeróbek). To oznacza, że w telefonach Samsunga, HTC, LG i reszty oprócz kodu autorstwa Google’a znajduje się też kod innych twórców. I tak samo jak każdy inny, on również może zawierać błędy. I zawiera ich bardzo wiele.
To potwierdza dwóch ekspertów ds. bezpieczeństwa, Avi Bashan i Ohad Bobrov z firmy Check Point, którzy swoje znaleziska zaprezentowali na konferencji Black Hat. Dodatki od producentów są dziurawe i trudne do usunięcia, bo są częścią obrazu systemu. Niektóre z nich są łatane, tak jak sam „rdzeń” Androida. Niestety, tylko niektóre.
Najbardziej dziurawe są moduły serwisowe, za pomocą których pracownicy pomocy technicznej telefonii komórkowej czy producenta telefonu mogą zdalnie udzielać pomocy osobom, u których występują problemy. Są opracowywane przez takie firmy, jak Citrix, LogMeIn, RSupport czy TeamViewer. Produkt tego ostatniego wykorzystywany jest przez Samsunga, LG, ZTE i Alcatel i, jak twierdzą wyżej wymienieni specjaliści, certyfikaty bezpieczeństwa, którymi się posługują są łatwe do zduplikowania a, co za tym idzie, przejęcie kontroli nad urządzeniem jest bardzo proste.
Obaj specjaliści stworzyli aplikację (dostępna na Google Play), która sprawdza podatność naszych urządzeń na ten konkretny, wykorzystujący nakładkę producenta rodzaj ataku. Na chwilę obecną jedynym Androidem jaki posiadam jest „czysty” tablet Nexus 7. Jestem bardzo ciekaw waszych wyników…
* Ilustracja otwierająca pochodzi z Shutterstock