REKLAMA

Czy producent twojego telefonu ma cię w... poważaniu? Ta łatka to pokaże

Ujawniono informacje o luce bezpieczeństwa, która dotyczy istotnej większości telefonów i innych urządzeń z systemem Android. Problem został na szczęście rozwiązany - sęk w tym, że miliony klientów z tego rozwiązania nie skorzystają.

android luka alac aktualizacja
REKLAMA

Telefony ze wszystkimi edycjami Androida, w tym najnowszą, mogą być podatne na groźny atak. Problem dotyczy wszystkich urządzeń z Androidem wykorzystujących procesory od dwóch liderów rynku: Qualcomma i MediaTeka. Ci dwaj dostawcy dostarczają układy scalone niemal wszystkim producentom sprzętów mobilnych (poza Samsung Galaxy).

REKLAMA

Czytaj też:

Największy problem z omawianą podatnością, poza samym faktem jej wystąpienia, jest łatwość jej wykorzystania przez atakującą cel osobę. Problem dotyczy bowiem, co ciekawe, sposobu, w jakim jest przetwarzany ALAC, kodek dźwięku bezstratnego, którego zmodyfikowaną formę wykorzystuje Apple do formatu Apple Lossless.

Oznacza to w praktyce, że wystarczy przekonać inną osobę do pobrania i odsłuchania piosenki. Zaszyty w pliku z piosenką lub innym dźwiękiem złośliwy kod może zapewnić atakującej osobie zdalne wykonanie kodu programistycznego, w tym innego rodzaju wirusa lub szpiega. Wykorzystując tą samą podatność również i złośliwa aplikacja może przejąć kontrolę nad urządzeniem - jednak przekonanie użytkownika do piosenki wydaje się łatwiejszym zadaniem niż do instalowania czegoś dziwnego z nieznanego źródła. Qualcomm opisuje tę podatność jako CVE-2021-30351. MediaTek jako CVE-2021-0674 oraz CVE-2021-0675.

Przejęcie kontroli telefonem za pomocą zatrutej piosenki. Jak to możliwe? Jak się bronić?

ALAC to otwartoźródłowy format bezstratnego przechowywania dźwięku. Bazuje na wynalezionym przez Apple’a w 2004 r i projektowanego z myślą o zapewnianiu dźwięku wysokiej jakości przez Internet formatu Apple Lossless. Apple jednak udostępnił jego otwartoźródłową wersję ALAC, w 2011 r., by spopularyzować format na większej liczbie urządzeń niż tylko iPod, iPhone i Mac.

Na tej bibliotece polegali Qualcomm i MediaTek. I zdecydowali się nie modyfikować jej aktualizacjami bezpieczeństwa, używając tej samej jej wersji od 2011 r. Fakt faktem oficjalne aktualizacje bezpieczeństwa nie istnieją, Apple nie dotykał się do ALAC-a od czasu jego udostępnienia i jego łatanie pozostawił społeczności. Choć własnościowa wersja Apple Lossless była dalej łatana. Obaj producenci nie czuli jednak potrzeby zainteresowania się pracą społeczności.

O podatności Qualcomm i MediaTek wiedzieli już w ubiegłym roku. Opracowali łatkę i dostarczyli ją firmie Google, by ta zaimplementowała ją do systemu Android. Łatka została dostarczona też bezpośrednio producentom telefonów. Stała się oficjalną częścią grudniowego zestawu aktualizacji systemu Android. Oznacza to, że jeżeli łatka jest zainstalowana, użytkownik nie ma się czego obawiać. Jeżeli nie - musi unikać odtwarzania piosenek i innych dźwięków w formacie ALAC i nie instalować aplikacji z nieznanych źródeł.

Jak sprawdzić wersję zabezpieczeń Androida? Jak zainstalować łatki bezpieczeństwa na Androidzie? Które telefony dostaną aktualizację na ALAC, grudniowy zestaw łatek?

Większość luk bezpieczeństwa w Androidzie usuwanych jest automatycznie przez Sklep Play i Usługi Play. Niektóre poprawki wymagają jednak poważniejszej ingerencji w kod systemu i są trudniejsze we wdrożeniu. Nie tylko dla programistów, ale w pewnym sensie nawet dla użytkownika - po ich instalacji, nawet tej domyślnie automatycznej, telefon poprosi użytkownika o ponowne uruchomienie urządzenia.

Łatki bezpieczeństwa są rozprowadzane niezależnie od edycji Androida, a więc jego wersji czy producenckiej modyfikacji. Ich aktualność można sprawdzić uruchamiając aplikacje Ustawienia, następnie Biometria i zabezpieczenia. Dodatkowo, warto sprawdzić, czy użytkownik niechcący nie odrzucił aktualizacji. A więc w Ustawieniach wcisnąć Aktualizacja oprogramowania.

 class="wp-image-2147160"
Jak sprawdzić wersję zabezpieczeń Androida? W aplikacji Ustawienia.
REKLAMA

Poszczególne nazwy funkcji w aplikacji Ustawienia i ich rozmieszczenie może się różnić w zależności od producenta telefonu, ogólna logika i brzmienie pozostają jednak zachowane.

Niestety część użytkowników zorientuje się, że ich telefon zawiera starszą niż grudniowa paczkę bezpieczeństwa i brak dostępnej aktualizacji. Nie wszyscy producenci telefonów traktują wszystkich swoich klientów poważnie. Poprawki tego rodzaju są droższe w dystrybucji i testowaniu niż te rozprowadzane przez Usługi Play i niektórzy decydują się oszczędzać na swoich klientach. Warto mieć to na uwadze przy wyborze nowego telefonu w razie ewentualnych przyszłych zakupów.

REKLAMA
Najnowsze
REKLAMA
REKLAMA
REKLAMA