Można otwierać szampany?! 5-letnia luka w Androidzie została właśnie załatana
Co kilka tygodni słyszymy informację o tym, że w systemie Google’a są luki. Niedawno wykryta dziura w Androidzie czekała na poprawkę przez pięć lat.
Firma FireEye poinformowała o tym, że nowo odkryta dziura w Androidzie była furtką dla atakujących do uzyskania dostępu do SMS-ów i historii połączeń oraz zmiany ustawień systemowych. Luka była obecna w setkach modeli smartfonów z chipami Qualcomma od pięciu lat.
Dziura w Androidzie pojawiła się z winy Qualcomma.
Winą za powstanie dziury w zabezpieczeniach Androida można obarczyć firmę Qualcomm. Wprowadzając nowe API naraziła na utratę danych posiadaczy setki modelów urządzeń z oprogramowaniem Google’a, a podatność na atak pojawiła się nawet w nieoficjalnym oprogramowaniu dostarczanym przez Cyanogen.
Historia luki sięga Androida Ice Cream Sandwich wydanego w 2011 roku, ale nowsze wersje Androida również były podatne na atak. Wykryto dziurę w Androidzie w wersjach Android 4.3 Jelly Bean, Android 4.4 KitKat i Android 5.0 Lollipop - czyli w systemach, z których korzysta do dziś wielu klientów.
Podatny na atak system Android nie jest w stanie go wykryć.
FireEye twierdzi, że ich rozwiązanie o nazwie Mobile Threat Prevention (MTP) nie byłoby w stanie wykryć ataku z wykorzystaniem luki, podobnie jak Google Play i rozliczne programy antywirusowe na Androida. Aplikacje wykorzystujące lukę proszą w dodatku o pozwolenie, z którego korzystają miliony innych aplikacji.
Odkrywcy luki zgłosili jej istnienie pracownikom Google’a i Qualcomma. Wiodący producent SoC układów do urządzeń mobilnych poradził sobie z usterką w ciągu 90 dni, a Google dodało łatkę w ramach comiesięcznej paczki zabezpieczeń. Problem w tym, że wiele urządzeń będących w użyciu nigdy nie dostanie uaktualnienia ze względu na fragmentację Androida.
Jedyna pociecha w tym, że nie ma jeszcze udokumentowanych przypadków wykorzystania tej luki w praktyce.
To dobra wiadomość dla posiadaczy smartfonów z Androidem podatnym na ten atak, bo mogą - przynajmniej na razie - czuć się bezpiecznie. Ta sytuacja potwierdza tylko, że wałkowany od lat na łamach Spider’s Web temat fragmentacji Androida nie jest wyssany z palca.
Posiadacze starszych urządzeń z niższej półki cenowej nie mają możliwości łatwej ochrony przed atakiem, jeśli w przyszłości cyberprzestępcy do tej luki się dobiorą. Google i producenci nie dbają zaś o to, by umożliwić im pobranie łatki, chociaż błąd został już de facto załatany.