211service.com
Browser Exploit for Android izceļ Google atjaunināšanas problēmu
Drošības pētnieks ir atklājis veidu, kā, izmantojot tīmekļa lapu vai lietotni, pārņemt aptuveni 70 procentus Android ierīču. Nav zināms, vai kāds patiešām izmanto izmantojumu, lai uzbruktu cilvēku tālruņiem, taču pētnieka atklājumi tomēr ir atgādinājums, ka Google saskaras ar pieaugošām galvassāpēm, jo tai trūkst jebkāda veida, kā efektīvi izplatīt drošības atjauninājumus simtiem miljonu ierīču, kurās darbojas tā programmatūra visā pasaulē. Daudzām no šīm ierīcēm ir novecojušas Android versijas.
Jauno risinājumu izstrādāja Džo Venikss, drošības uzņēmuma programmatūras inženieris Rapid7 , kas pagājušajā nedēļā pievienoja ekspluatāciju uzņēmumam Metasploit programmatūra, ko izmanto ierīču un sistēmu zināmu ievainojamību pārbaudei. Viņa kods izmanto kļūdu, kas pirmo reizi tika atklāta 2012. gada decembris Android iebūvētajā tīmekļa pārlūkprogrammā. Ekspluatāciju var izmantot, lai pārņemtu tālruni pēc tam, kad kāda persona ir novirzīta uz Web lapu, kurā ir iegults ļaunprātīgais kods, vai piegādājot kodu, izmantojot lietotni, no kurām daudzas parāda saturu, piemēram, reklāmas, izmantojot Android pārlūkprogrammas iespējas. Venikss to atklāja viena Baidu lietotne Piemēram, bija neaizsargāts pret ļaunprātīgu izmantošanu, kad tā tika instalēta ierīcē, kurā tika izmantota 2013. gada decembrī izlaista Android versija. Cits pētnieks atklāja, ka ļaunprātīga izmantošana darbojas uz Google Glass .
Vennix lēš, ka 70 procenti Android ierīču ir neaizsargātas pret izmantošanu, pamatojoties uz Google skaitļi to ierīču īpatsvaram, kurās darbojas dažādas Android versijas. Un ļoti svarīgi, lai gan Google 2012. gada novembrī izlaida jaunu Android versiju ar pamatā esošās kļūdas labojumu, lielākā daļa ierīču, kurās darbojas programmatūra, visticamāk, paliks neaizsargātas pret uzbrukumu tik ilgi, kamēr tās tiks izmantotas, jo tās netiks atjauninātas.
Google ir pārliecinājis daudzus ražotājus savos produktos instalēt Android, taču tikai daži nesteidzas ieviest jaunas programmatūras versijas. Tāpat uzņēmumam Google nav mehānisma, lai tieši nosūtītu atjauninājumus ierīcēm, piemēram, tām, kas iebūvētas galddatoru operētājsistēmās, tostarp Microsoft Windows vai Mac OS.
Tas ierobežo Google iespējas ieviest jaunas funkcijas un drošības ielāpus ierīcēm, kurās darbojas tā programmatūra. Uzņēmumam līdz šim bija maz panākumu problēmas risināšanā. Piemēram, 2011. gada maijā Google paziņoja par Android jaunināšanas aliansi, kuras ietvaros bezvadu mobilo sakaru operatori ātri ieviesīs Android atjauninājumus ierīces pirmajos 18 mēnešos. Taču projekts nodibināja un vairs nav aktīvs. Google neatbildēja uz komentāru pieprasījumu.
Pavisam nesen Google ir centies apiet mobilo sakaru operatorus, pārvietojot dažas Android funkcijas atsevišķās lietotnēs, kuras lietotāji var atjaunināt, izmantojot uzņēmuma Play lietotņu veikalu. Piemēram, YouTube, Gmail un Google meklēšana agrāk bija iebūvēti Android programmatūrā, taču tagad tās ir atsevišķas lietotnes; Google var nosūtīt šīm lietotnēm funkciju atjauninājumus un drošības labojumus, nesadarbojoties ar kādu citu uzņēmumu. Jaunākajās Android versijās iebūvētais pārlūkprogrammas kods ir paslēpts no lietotājiem, kuri tā vietā izmanto Google Chrome darbvirsmas pārlūkprogrammas mobilās lietotnes versiju.
Tomēr šī pieeja neaptver Android programmatūras kodolu, un tā nevar novērst Rapid7 atklāto kļūdu. Dirks Sigurdsons, Rapid7 mobilo ierīču aizsardzības produkta Mobilesafe inženierzinātņu direktors, saka, ka ierīces, kas iegādātas no citiem uzņēmumiem, izņemot Google, nevar uzskatīt par drošām. Viņš saka, ka pašlaik vislabāk ir iegādāties Google Nexus vai Google Play izdevuma ierīces, kas tiek daudz ātrāk atjauninātas ar jaunākajiem Android laidieniem.
Kopš programmatūras palaišanas 2008. gada oktobrī ir aktivizēts vairāk nekā miljards Android ierīču, saskaņā ar Google . Android ierīces gandrīz nav nomocītas ar ļaunprātīgu programmatūru tādā mērā kā personālos datorus, un lietotņu veikalu izmantošana palīdz ierobežot ļaunprātīga koda izplatību. Neskatoties uz to, ļaunprātīgas programmatūras sastopamība pieaug, un sagaidāms, ka tās ievērojami pasliktināsies (skatiet sadaļu Attacks on Android Intensify un New Business Models for Malware to Bring PC Security Woes to Mobile ).
Pēc tam, kad Microsoft Windows operētājsistēma kļuva par upuri plašam ļaunprātīgas programmatūras klāstam, uzņēmums izveidoja sistēmu, kurā drošības atjauninājumi tika nepārtraukti izstrādāti un ieviesti personālajos datoros. Apple izmanto līdzīgu modeli, lai atjauninātu savas mobilās ierīces. Piemēram, septembrī tikai nedēļu pēc tam, kad tika atklāta kļūda, kas kādam ļāva apiet iPhone bloķēšanas ekrānu , kompānija izskrēja labojumu .
Šī pieeja varētu palīdzēt arī Android, saka drošības konsultants Greiems Klūlijs, taču maz ticams, ka tā būs pievilcīga Google, jo tā piešķir Android bez maksas un ļauj ierīču ražotājiem un mobilo sakaru operatoriem modificēt programmatūru. Man ir aizdomas, ka galvenā problēma ir tā, ka viņi nekontrolē aparatūru un programmatūru, viņš saka. Lai gan visās šajās ierīcēs darbojas operētājsistēma Android, tajās darbojas dažādas pielāgotas versijas ar dažādiem lietotāja interfeisiem un papildinājumiem.
Viens no iemesliem, kāpēc uzņēmumi šodien nenodod Google atjauninājumus operētājsistēmai Android, ir tas, ka ir nepieciešams strādāt, lai nodrošinātu, ka šie pielāgojumi joprojām darbojas pareizi jaunajā versijā. Automātiskie atjauninājumi var izjaukt paša uzņēmuma Android modifikācijas, saka Klūlijs.