Google не может закрыть уязвимость на 70% мобильных устройств с ОС Android

Mobile
автор: Андрей Васильков  18 февраля 2014

Джо Венникс (Joe Vennix) — специалист компании Rapid7, занимающейся вопросами информационной безопасности, — обнаружил уязвимость во встроенном браузере ОС Android. Она затрагивает свыше 70% смартфонов, позволяя запустить вредоносный код через модифицированную веб-страницу, QR-код или злонамеренно изменённое приложение.

Подобную уязвимость в браузере Apple Safari Венникс нашёл год назад. Её долго не устраняли, но в итоге Apple всё же выпустила патч, применение которого для пользователей в целом прошло незаметно.

Для компании Google закрыть дыру в любом встроенном программном компоненте будет сейчас значительно сложнее. Основная проблема в том, что до сих пор отсутствует механизм быстрой доставки критических обновлений для компонентов прошивки непосредственно на мобильные устройства во всём их многообразии.

Инициатива Android Upgrade Alliance, призванная сократить срок типичного ожидания обновлений, не нашла поддержки у производителей смартфонов и в итоге провалилась. Теперь даже не все смартфоны собственной серии Nexus получают последние апдейты.

К примеру, бремя поддержки Samsung GT-I9250 Galaxy Nexus было разделено между Google и Samsung. На сегодня автоматическое обновление «по воздуху» получили только те аппараты, у которых был прошит идентификатор Google (yakju). Абсолютно идентичные смартфоны, поддержкой которых по жребию должна заниматься Samsung, застряли на версии 4.2.1 уже больше полугода. Апдейт до версии 4.4 для них не предусмотрен вовсе.

Galaxy Nexus не получит последнее обновление по чисто формальной причине (скриншот сайта support.google.com)

Galaxy Nexus не получит последнее обновление по чисто формальной причине (скриншот сайта support.google.com).

С моделями других производителей всё ещё хуже. Многие из них никогда не получат официального обновления даже до версии 4.x, хотя их аппаратная часть не накладывает на это серьёзных ограничений.

По этим причинам любой эксплойт в ОС Android сейчас куда более опасен, чем в других мобильных операционных системах. Выходов из данной ситуации я вижу два:

  1. использовать альтернативные приложения вместо встроенных;
  2. получать root и дорабатывать/заменять уязвимые компоненты самостоятельно.

Первый метод редко будет результативным. Многие сторонние приложения реально работают лишь как интерфейсная надстройка над предустановленными компонентами. Следовательно, их часто будут касаться те же проблемы безопасности.

По данным агентства Strategy Analytics, доля операционной системы Android на рынке мобильных ОС составляет сейчас почти 79%.

Рыночная доля Android и других мобильных ОС (изображение: strategyanalytics.com)

Рыночная доля Android и других мобильных ОС (изображение: strategyanalytics.com).

Только за последний год было реализовано свыше 780 млн смартфонов с Android. Последняя версия 4.4 (KitKat) установлена лишь на 1,8% из них, а предыдущая 4.3 — на 8,9%.

Связано это с политикой распространения ОС. В отличие от Microsoft и Apple, Google предоставляет производителям смартфонов и операторам сотовой связи широкие возможности по модификации своей операционной системы. Обычно они касаются интерфейса или установки различных дополнений и не затрагивают системных компонентов. Однако отсутствие жёстких требований в итоге приводит к появлению несовместимых версий и снижает безопасность. Как разработчик ОС Google оказывается не в состоянии выпустить одно универсальное обновление для мобильных устройств всех производителей, а сами они мало заинтересованы в этом.

Поэтому с каждой версией Google старается выделять всё больше сервисов как пользовательские приложения с возможностью их автоматического обновления через магазин Google Play. Так уже случилось с почтой Gmail и службой поиска, которые раньше обновлялись только вместе с прошивкой.

Данные о распространённости уязвимости пока уточняются. Сам Венникс предполагает, что она затрагивает все версии до Ice Cream Sandwich включительно. По отдельным сообщениям, эксплойт работал и на Jelly Bean 4.1.x.

Другой исследователь, Джошуа Дрейк (Joshua J. Drake), недавно подтвердил, что проблема актуальна и для Google Glass версии XE12. Соответствующий эксплойт был опробован им независимо в рамках эксперимента. Используют ли его злоумышленники на практике — пока трудно сказать.

Проверка наличия уязвимости во встроенном браузере ОС Android на сайте droidsec.org (скриншот)

Проверка наличия уязвимости во встроенном браузере ОС Android на сайте droidsec.org (скриншот).

Касается ли найденная уязвимость непосредственно ваших устройств с ОС Android? Это можно узнать, зайдя встроенным браузером на страницу проверки.

Поделиться
Поделиться
Tweet
Google
 
Читайте также
Чёрный день для «Андроида»: ошибка в системе ставит под удар один миллиард устройств
Чёрный день для «Андроида»: ошибка в системе ставит под удар один миллиард устройств
Android и безопасность: приложения «третьих сторон» опаснее всего
Android и безопасность: приложения «третьих сторон» опаснее всего
Android «завис» на версии 2.3: она до сих пор самая популярная в мире
Android «завис» на версии 2.3: она до сих пор самая популярная в мире
  • Драйден

    Хорошо не пользоваться встроенным броузером

    • Дмитрий Дворников

      +1000! Для Android куча бесплатных и качественных альтернатив. Тем более, что само понятие «уязвимость» не применимо к этой ОС, в которой каждый процесс, приложение исполняются в собственной изолированной виртуальной машине. Это как «уязвить» океан, покусав одну несчастную и больную треску.

      • Sirano Bergerac

        Да, только если подключится к wifi в макдональдсе, скажем, то билайн не пустит пока не загрузит свою страницу именно во встроенном браузере, и ни в каком другом.

      • Vladislav Chinuchin

        «Тем более, что само понятие «уязвимость» не применимо к этой ОС, в которой каждый процесс, приложение исполняются в собственной изолированной виртуальной машине. Это как «уязвить» океан, покусав одну несчастную и больную треску.»
        Даже если предположить, что ваша идеалистическая картина верна, радости будет мало, когда эта самая единственная «несчастная и больная треска» будет без вашего ведома работать спам-ботом, рассылая вредоносный спам и сливая заодно ваши пароли и банковские карты кому надо.

  • pochi

    Очередной повод порадоваться за себя любимого о мудром выборе для себя другой платформы, где ни сараи от ветра не рушатся, ни кони птичьим гриппом не болеют.

  • Gerry

    Неплохо бы ссылочку QR-кодом.

    • Андрей Васильков

      Плохо бы. Она специально заклеена в тех кадрах ролика, где более-менее чётко видна.

  • Сергей Абаев

    Не хрена тыкать на незнакомые ссылки и ставить всякого го..но из маркета!

  • Felis Manul

    Именно из-за того о чем написана статья зарекся покупать дорогие смартфоны. Потратив одинаковые деньги, можно купить топовый смартфон или 7-10 лет каждый год выкидывать в помойку старый ляофон и покупать новый. При этом топовый смартфон (с любой ОС) через два года превратится в кирпич из-за несовместимости софта и незаделанных дыр, а ляофон будет с новым софтом и с фичами позаимствованными у старших братьев. А все свои контакты, самое важное для меня, я перекину с одного смартфона на другой в течении пяти минут (спасибо Большому Брату и АНБ).

Хостинг "ИТ-ГРАД"
© ООО "Компьютерра-Онлайн", 1997-2017
При цитировании и использовании любых материалов ссылка на "Компьютерру" обязательна.
«Партнер Рамблера» Почта защищена сервером "СПАМОРЕЗ" Хостинг "Fornex"