Tālruņu ražotāju Android uzlabojumi rada drošības problēmas

Google Android operētājsistēmas atvērtā būtība nozīmē, ka ražotāji var pievienot tālrunim savu programmatūras slāni, palīdzot tiem izcelties no komplekta ar atšķirīgu izskatu un funkcijām. Tomēr jauni pētījumi liecina, ka šāda pielāgošana var izraisīt arī virkni drošības trūkumu, kas tālruņus var padarīt neaizsargātākus pret hakeriem.





Saskaņā ar Ziemeļkarolīnas štata universitātes datorzinātņu pētnieku veikto pētījumu, izmaiņas, ko ražotāji veica Android programmatūras krājumā, bija atbildīgas par vairāk nekā 60 procentiem no drošības trūkumiem, kas tika atklāti dažādu tālruņu uzņēmumu tālruņos. A papīrs (pdf) par darbu ir paredzēts prezentēt trešdien plkst ACM konference par datoru un sakaru drošību Berlīnē.

Mēs bijām pārsteigti par vispārējo nedrošību, saka viens no autoriem, Ksuksian Dzjans , universitātes datorzinātņu asociētais profesors, kurš pēta mobilo ierīču ļaunprātīgu programmatūru. Dzjans to uzskata par norādi, ka daži tālruņu pārdevēji neuztver drošību pietiekami nopietni un ka viņi izjūt pastāvīgu spiedienu ieviest tirgū jaunas programmatūras funkcijas.

Savā pētījumā pētnieki aplūkoja 10 Android viedtālruņus; piecos darbojās ceturtās paaudzes Android programmatūras varianti un pieci izmantoja otro paaudzi (starp šīm divām versijām Google izlaida versiju 3.2, kas pazīstama arī kā Honeycomb, kas bija paredzēta planšetdatoriem). Pētnieki pārbaudīja vienu klausuli ar katru no divām Android versijām no Samsung, HTC, LG un Sony, tostarp populārajiem Samsung Galaxy S3 un HTC One X, kā arī divus Google zīmola tālruņus (izgatavotus Nexus S un Nexus 4 attiecīgi Samsung un LG), kas galvenokārt kalpoja kā atsauces ietvari, jo tajos nav iekļauti tie paši pielāgotie programmatūras apvalki, kas atrodami daudzās citās Android tālruņos.



Lai noskaidrotu, kas ir drošības ievainojamības un kur tās radušās, pētnieki vispirms iedalīja viedtālruņos ielādētās lietotnes trīs kategorijās, atzīmējot, kuras nāk no Google Android atvērtā koda projekta, kuras izveidoja vai pielāgoja viedtālruņu ražotājs. un kas nāca no ārējiem programmētājiem.

Pēc tam viņi aplūkoja datus un funkcijas, ko lietotnes vēlas izmantot, piemēram, iespēju piekļūt jūsu fotoattēliem vai sastādīt kontaktpersonu tālruņu numurus, lai noskaidrotu, kuras programmas pieprasīja atļaujas, kuras tās faktiski neizmantoja. Lietojumprogrammas, kurām ir vairāk atļauju, nekā tām nepieciešams, rada problēmas, jo tās var pakļaut lielākam riskam tikt uzlauztas, ja lietotne tiek uzlauzta.

Pētnieki atklāja, ka 86 procenti šajos viedtālruņos iepriekš ielādēto lietotņu prasīja vairāk atļauju nekā nepieciešams, un lielāko daļu tā saukto pārāk priviliģēto lietotņu viedtālruņu ražotāji bija pievienojuši savu pielāgošanas procesu ietvaros. Tā kā tās ir zemā līmenī integrētas ar operētājsistēmu, ražotāju pievienotajām lietotnēm var piekļūt lielākas atļaujas nekā tām, ko piešķīruši ārējie lietotņu izstrādātāji.



Marks Rodžerss, mobilās drošības programmatūras uzņēmuma Lookout galvenais drošības pētnieks, saka, ka pārāk priviliģētu lietotņu problēma ir izplatīta lietotņu izstrādātājiem kopumā, ne tikai konkrētiem pārdevējiem. Ja paskatās visā tirgū, ir diezgan daudz lietojumprogrammu, kurām ir šī problēma, un lietotņu izstrādātājs ir teicis: 'Es pieprasīšu pēc iespējas vairāk atļauju, ja man tās būs vajadzīgas,' viņš saka.

Pētnieki arī meklēja drošības problēmas, kas varētu ļaut lietotnēm darboties tā, it kā tām būtu atļauja darīt lietas, ko tām nav atļauts darīt, vai kas varētu ļaut lietotnēm bez atļaujas koplietot sensitīvus lietotāja datus.

Kopumā pētnieki konstatēja, ka no 65 līdz 85 procentiem no 177 drošības ievainojamībām Samsung, HTC un LG viedtālruņos radās ražotāja pielāgojumi; 38 procenti no 16 Sony viedtālruņu trūkumiem radās no šī avota.



Rodžerss, kurš ir redzējis, ka pārdevēju pielāgojumi pagātnē rada drošības problēmas (piemēram, viens kas izriet no Samsung veiktās Galaxy S3 bloķēšanas ekrāna pielāgošanas), teikts, ka neatkarīgi no problēmu izcelsmes jebkuras Android programmatūras izmaiņas veicina operētājsistēmas sadrumstalotību un var radīt ievainojamības, kuras Google neizseko.

Pētījuma pētnieki apgalvo, ka ir mēģinājuši sazināties ar viedtālruņu ražotājiem, lai informētu viņus par atklātajām drošības problēmām, taču ne visi ir reaģējuši. Viedtālruņu ražotāji un Google neatbildēja uz komentāriem par šo stāstu.

Tomēr Dzjans cer, ka pētījums palīdzēs pārdevējiem un lietotājiem atpazīt šādas drošības problēmas. Cerams, ka nākamās paaudzes tālruņi kļūs daudz drošāki, viņš saka.



paslēpties