Google dostał nauczkę za brak aktualizacji Androida. Szkoda, że ucierpimy my
Już kilka miesięcy minęło od ujawnienia luki w bibliotekach multimedialnych libstagefright. Umożliwiała ona przejęcie kontroli nad mniej więcej 950 mln urządzeń z systemem Android dostępnymi na rynku. Wczoraj kod ataku został udostępniony publicznie, co oznacza, że każdy może spróbować go użyć.
Z artykułu na portalu ArsTechnica możemy dowiedzieć się, że pierwsze zgłoszenia dotyczące StageFright dotarły do Google w kwietniu i maju, jednak publiczna informacja na temat możliwości ataku pojawiła się w końcówce lipca. Od tego czasu Google stworzył poprawki łatające wspomnianą dziurę. Co więcej, dostarczył je nawet do partnerów, ale wiele urządzeń mimo to nie doczekało się stosownej aktualizacji.
Warto zwrócić uwagę na to, że Google starał się zdusić problem już w zarodku, choć na początku działał nieco nieudolnie. Jedna z pierwszych poprawek blokowała automatyczne przetwarzanie MMS-ów. W ten sposób Google zablokował jeden z najprostszych i najgroźniejszych rodzajów ataków, który polega na wysłaniu wiadomości MMS, która potem sama się usuwa. Użytkownik wówczas zobaczy jedynie powiadomienie o otrzymaniu wiadomości i niczego się nie domyśli.
Co więcej, do przeprowadzenia takiego ataku wystarczy znać numer telefonu ofiary.
Należy jednak docenić, że Google szybko zareagował na zagrożenie, ale nadal mnie to nie satysfakcjonuje. W końcu przez długi czas firma z Mountain View nie zrobił nic, by uchronić użytkowników, którzy mogą zostać zaatakowani chociażby podczas przeglądania niektórych stron internetowych. Pozbyła się tylko najbardziej widocznego zagrożenia w celu ugłaskania mediów i czasowego wyciszenia całej sprawy. Bardziej niż pomóc użytkownikom, chciała kupić sobie trochę czasu.
Jakby tego było mało, Google wydał kilka wadliwych łatek, które można było w bardzo łatwy sposób obejść. Tak było w przypadku poprawki łatającej dziurę nazwaną jako CVE-2015-3864. Aplikacja wydana przez Zimperium, firmę zajmującą się bezpieczeństwem, która jako pierwsza odnalazła luki Stagefright, pokazuje, że w niektórych przypadkach nawet w pełni zaktualizowane smartfony mają luki bezpieczeństwa.
Nie ma tu jednak reguły. W komentarzach widać, że narażeni są użytkownicy Nexusów 5 z najnowszym oprogramowaniem, podczas gdy posiadacze Nexusów 4 nie mają się czego bać. Z tego powodu Google oraz jego partnerzy prosili Zimperium o przesunięcie daty ujawnienia kodu ataku.
Jednak mimo to firma wczoraj opublikowała kod jednego rodzaju ataku.
Skrypt stworzony w Pythonie tworzy plik multimedialny o rozszerzeniu MP4, który umożliwia atakującemu zdalne robienie zdjęć, słuchanie dźwięków odtwarzanych przez smartfon oraz tych nagrywanych przez mikrofon. Tego konkretnego ataku nie da się przeprowadzić na smartfonie z Androidem 5.0 i nowszym. To jednak słaba pociecha, ponieważ niewiele sprzętów otrzymało aktualizację do tych wersji oprogramowania.
Warto przypomnieć, że wykrycie tej ekstremalnie poważnej luki doprowadziło do bardzo istotnej zmiany podejścia Google do aktualizacji, którą sam zaobserwowałem. Kilka minut przed napisaniem tego tekstu mój Nexus 7 (2013) otrzymał aktualizację bezpieczeństwa. Twórcy Androida obiecali, że wszystkie urządzenia z rodziny Nexus będą co miesiąc otrzymywać poprawkę bezpieczeństwa. Podobny program zapowiedział Samsung, ale jest jeszcze za wcześnie, by jednoznacznie stwierdzić, czy będzie on faktycznie działał.
Dlatego jeżeli zależy Wam na bezpieczeństwie, zdecydowanie warto porzucić urządzenia z Androidem i przy najbliższej okazji przesiąść się na sprzęt z systemem iOS lub Windows Phone. Podejmując tak drastyczne kroki radzę jednak kierować się przede wszystkim zdrowym rozsądkiem i zastanowić się, czy jesteście kimś na tyle istotnym, by wasze dane mogły kogoś obchodzić? Ja taką osobą nie jestem, dlatego mimo wszystko nie będę od razu wymieniał swojego urządzenia.
Jednak mimo to nie przestanę narzekać na poziom zabezpieczeń Androida, który w mojej ocenie jest po prostu żałosny.
Jako użytkownik smartfonu z oprogramowaniem od jednej z największych firm świata powinienem czuć się bezpiecznie, a nie zastanawiać się, czy jestem na tyle ważny, by ktokolwiek chciał mnie zaatakować. Przynajmniej tak mi podpowiada zdrowy rozsądek.
*Zdjęcie pochodzi z Shutterstock.