Problem z czipami Qualcomma, czyli luka w Androidzie załatana… tylko teoretycznie

Użytkownicy sprzętów z Androidem, w których wykorzystano procesory marki Qualcomm, są narażeni na niebezpieczną lukę. Jak donosi Computerworld atak wyciągający zaszyfrowane klucze został zaprezentowany przez badacza bezpieczeństwa nazwiskiem Gal Beniamini.

Po uzyskaniu dostępu do zaszyfrowanego klucza zabezpieczenia można złamać atakiem typu brute-force. Pozwala to złamać zabezpieczenia z pominięciem programowych mechanizmów wymuszających np. odstępy czasu między kolejnymi próbami podania odpowiedniego hasła.

W celu przeprowadzenia ataku wykorzystane zostały dwie podatności pozwalające na zdobycie dostępu do klucza. Badacz Gal Beniamini zauważył, że chociaż można było to zrobić w Androidzie, to podobny atak nie jest możliwy w przypadku urządzeń z iOS.

Nie zagłębiając się w techniczne szczegóły problem sprowadza się do tego, że zaszyfrowane w pamięci urządzenia dane są tak bezpieczne, jak hasło użyte przez użytkownika. Skomplikowane hasła będą co prawda dla atakujących sporym problemem, ale metody typu brute-force z 4-cyfrowym PIN-em lub krótkim hasłem poradzą sobie w moment.

Podatności wykorzystane do przeprowadzenia tego ataku zostały już załatane - jedna w styczniu, druga w maju - ale dla posiadaczy starszych smartfonów i tabletów z Androidem to marna pociecha. Jeśli producent nie zadbał o przygotowanie aktualizacji, to nadal są podatni na ten atak - i tacy zapewne pozostaną, póki nie zmienią telefonu na nowszy.

Można bronić Google’a, który nie wymaga od firm korzystających z Androida terminowych aktualizacji i przekonywać, że użytkownicy i tak nie są zainteresowani nową wersją oprogramowania. Takie odkrycia pokazują jednak, że fragmentacja Androida to poważny problem, bo na łatkę mogą liczyć tylko nieliczni.