REKLAMA

Nie, no spoko. Google 2 lata łatał dziurę wykorzystywaną przez izraelskiego Pegasusa

2 lata temu Google dowiedział się o błędzie, który był wykorzystywany między innymi do instalowania Pegasusa. Naprawiająca go aktualizacja na wiele telefonów trafiła dopiero w tym roku. 

Android podatność day 0
REKLAMA

Ciekawy post na blogu Projektu Zero Google'a zauważył Sekurak. Firma opowiada w nim, jak radzi sobie z walką z podatnościami dnia zerowego, a robi to na przykładzie jednej ze swoich poważnych wpadek - podatności, która jeszcze niedawno mogła być wykorzystywana do instalowania Pesausua na niektórych modelach smartfonów z Androidem.

REKLAMA

W poszukiwaniu zaginionego błędu.

Było późne lato 2019 r., gdy Google's Threat Analysis Group, Android Security i zespół Project Zero dostali informacje na temat luki, którą pochodząca z Izraela NSO Group wykorzystuje jako część ataku umożliwiającego wprowadzenie niesławnego Pegasusa na telefony ofiar. Jeden z najlepiej znanych, szczególnie w Polsce, programów szpiegowskich, umożliwia szeroko zakrojoną inwigilację osoby, której sprzęt zostanie nim zainfekowany. Korzystają z niego służby specjalne wielu krajów (cześć osób uważa, że także te z Polski), a jego skuteczność opiera się między innymi na tym, że jest bardzo trudny do wykrycia.

Wraz z informacją o podatności pracownicy Google'a dostali kilka podpowiedzi dotyczących jej natury. Wiedzieli na przykład, że błąd jest obecny na Pixelu 1 i 2 ale już nie na Pixelu 3 i 3a, a także że luka nie występuje w jądrach Linuxa 4.14 i późniejszych. Różne informacje dawały różne wskazówki, które podpowiadały, gdzie należy szukać wykorzystywanej przez Pegasusa podatności i zawężały listę podejrzanych. W końcu, po kilku tygodniach pracy udało się zidentyfikować odpowiedni błąd.

Część Google'a wiedziała o błędzie, część nie wiedziała.

Okazało się, że błąd nie tylko został odkryty już w listopadzie 2017 r., ale także był naprawiony w lutym 2018 r. Szkopuł polegał na tym, że choć załatano lukę na jądrach Linuxa 4.14 i późniejszych, nie opisano jej jako zagrożenia dla bezpieczeństwa, więc informacja o niej nie trafiła do odpowiedniego zespołu w Google. Błąd nie został uwzględniony w comiesięcznym biuletynie na temat bezpieczeństwa Androida, a zespół za nie odpowiedzialny dowiedział się o nim dopiero we wrześniu 2019 r., czyli bagatela o dwa lata za późno.

REKLAMA

Ot, każdemu zdarzy się czasem drobna obsuwa w robocie.

REKLAMA
Najnowsze
Aktualizacja: 2025-05-24T07:22:00+02:00
Aktualizacja: 2025-05-23T21:47:42+02:00
Aktualizacja: 2025-05-23T21:02:41+02:00
Aktualizacja: 2025-05-23T20:30:01+02:00
Aktualizacja: 2025-05-23T20:08:22+02:00
Aktualizacja: 2025-05-23T18:45:13+02:00
Aktualizacja: 2025-05-23T18:34:16+02:00
Aktualizacja: 2025-05-23T18:07:40+02:00
Aktualizacja: 2025-05-23T17:38:56+02:00
Aktualizacja: 2025-05-23T17:22:52+02:00
Aktualizacja: 2025-05-23T16:22:46+02:00
Aktualizacja: 2025-05-23T15:30:10+02:00
Aktualizacja: 2025-05-23T15:24:39+02:00
Aktualizacja: 2025-05-23T14:48:16+02:00
Aktualizacja: 2025-05-23T12:38:15+02:00
Aktualizacja: 2025-05-23T11:42:04+02:00
Aktualizacja: 2025-05-23T11:08:03+02:00
Aktualizacja: 2025-05-23T10:32:24+02:00
Aktualizacja: 2025-05-23T07:02:08+02:00
Aktualizacja: 2025-05-23T06:36:21+02:00
Aktualizacja: 2025-05-23T06:11:00+02:00
Aktualizacja: 2025-05-22T21:48:15+02:00
Aktualizacja: 2025-05-22T21:18:27+02:00
Aktualizacja: 2025-05-22T20:47:01+02:00
Aktualizacja: 2025-05-22T20:24:45+02:00
REKLAMA
REKLAMA
REKLAMA