Dwa lata zajęło Google'owi załatanie poważnej luki bezpieczeństwa. Korzystali z niej twórcy Pegasusa
2 lata temu Google dowiedział się o błędzie, który był wykorzystywany między innymi do instalowania Pegasusa. Naprawiająca go aktualizacja na wiele telefonów trafiła dopiero w tym roku.
![Android podatność day 0](/_next/image?url=https%3A%2F%2Focs-pl.oktawave.com%2Fv1%2FAUTH_2887234e-384a-4873-8bc5-405211db13a2%2Fspidersweb%2F2019%2F11%2Fandroid-podatnosc-day-0-pegasus.jpg&w=1200&q=75)
Ciekawy post na blogu Projektu Zero Google'a zauważył Sekurak. Firma opowiada w nim, jak radzi sobie z walką z podatnościami dnia zerowego, a robi to na przykładzie jednej ze swoich poważnych wpadek - podatności, która jeszcze niedawno mogła być wykorzystywana do instalowania Pesausua na niektórych modelach smartfonów z Androidem.
W poszukiwaniu zaginionego błędu.
Było późne lato 2019 r., gdy Google's Threat Analysis Group, Android Security i zespół Project Zero dostali informacje na temat luki, którą pochodząca z Izraela NSO Group wykorzystuje jako część ataku umożliwiającego wprowadzenie niesławnego Pegasusa na telefony ofiar. Jeden z najlepiej znanych, szczególnie w Polsce, programów szpiegowskich, umożliwia szeroko zakrojoną inwigilację osoby, której sprzęt zostanie nim zainfekowany. Korzystają z niego służby specjalne wielu krajów (cześć osób uważa, że także te z Polski), a jego skuteczność opiera się między innymi na tym, że jest bardzo trudny do wykrycia.
Wraz z informacją o podatności pracownicy Google'a dostali kilka podpowiedzi dotyczących jej natury. Wiedzieli na przykład, że błąd jest obecny na Pixelu 1 i 2 ale już nie na Pixelu 3 i 3a, a także że luka nie występuje w jądrach Linuxa 4.14 i późniejszych. Różne informacje dawały różne wskazówki, które podpowiadały, gdzie należy szukać wykorzystywanej przez Pegasusa podatności i zawężały listę podejrzanych. W końcu, po kilku tygodniach pracy udało się zidentyfikować odpowiedni błąd.
Część Google'a wiedziała o błędzie, część nie wiedziała.
Okazało się, że błąd nie tylko został odkryty już w listopadzie 2017 r., ale także był naprawiony w lutym 2018 r. Szkopuł polegał na tym, że choć załatano lukę na jądrach Linuxa 4.14 i późniejszych, nie opisano jej jako zagrożenia dla bezpieczeństwa, więc informacja o niej nie trafiła do odpowiedniego zespołu w Google. Błąd nie został uwzględniony w comiesięcznym biuletynie na temat bezpieczeństwa Androida, a zespół za nie odpowiedzialny dowiedział się o nim dopiero we wrześniu 2019 r., czyli bagatela o dwa lata za późno.
Ot, każdemu zdarzy się czasem drobna obsuwa w robocie.