Джо Венникс (Joe Vennix) — специалист компании Rapid7, занимающейся вопросами информационной безопасности, — обнаружил уязвимость во встроенном браузере ОС Android. Она затрагивает свыше 70% смартфонов, позволяя запустить вредоносный код через модифицированную веб-страницу, QR-код или злонамеренно изменённое приложение.

Подобную уязвимость в браузере Apple Safari Венникс нашёл год назад. Её долго не устраняли, но в итоге Apple всё же выпустила патч, применение которого для пользователей в целом прошло незаметно.

Для компании Google закрыть дыру в любом встроенном программном компоненте будет сейчас значительно сложнее. Основная проблема в том, что до сих пор отсутствует механизм быстрой доставки критических обновлений для компонентов прошивки непосредственно на мобильные устройства во всём их многообразии.

Инициатива Android Upgrade Alliance, призванная сократить срок типичного ожидания обновлений, не нашла поддержки у производителей смартфонов и в итоге провалилась. Теперь даже не все смартфоны собственной серии Nexus получают последние апдейты.

К примеру, бремя поддержки Samsung GT-I9250 Galaxy Nexus было разделено между Google и Samsung. На сегодня автоматическое обновление “по воздуху” получили только те аппараты, у которых был прошит идентификатор Google (yakju). Абсолютно идентичные смартфоны, поддержкой которых по жребию должна заниматься Samsung, застряли на версии 4.2.1 уже больше полугода. Апдейт до версии 4.4 для них не предусмотрен вовсе.

Galaxy Nexus не получит последнее обновление по чисто формальной причине (скриншот сайта support.google.com)
Galaxy Nexus не получит последнее обновление по чисто формальной причине (скриншот сайта support.google.com).

С моделями других производителей всё ещё хуже. Многие из них никогда не получат официального обновления даже до версии 4.x, хотя их аппаратная часть не накладывает на это серьёзных ограничений.

По этим причинам любой эксплойт в ОС Android сейчас куда более опасен, чем в других мобильных операционных системах. Выходов из данной ситуации я вижу два:

  1. использовать альтернативные приложения вместо встроенных;
  2. получать root и дорабатывать/заменять уязвимые компоненты самостоятельно.

Первый метод редко будет результативным. Многие сторонние приложения реально работают лишь как интерфейсная надстройка над предустановленными компонентами. Следовательно, их часто будут касаться те же проблемы безопасности.

По данным агентства Strategy Analytics, доля операционной системы Android на рынке мобильных ОС составляет сейчас почти 79%.

Рыночная доля Android и других мобильных ОС (изображение: strategyanalytics.com)
Рыночная доля Android и других мобильных ОС (изображение: strategyanalytics.com).

Только за последний год было реализовано свыше 780 млн смартфонов с Android. Последняя версия 4.4 (KitKat) установлена лишь на 1,8% из них, а предыдущая 4.3 — на 8,9%.

Связано это с политикой распространения ОС. В отличие от Microsoft и Apple, Google предоставляет производителям смартфонов и операторам сотовой связи широкие возможности по модификации своей операционной системы. Обычно они касаются интерфейса или установки различных дополнений и не затрагивают системных компонентов. Однако отсутствие жёстких требований в итоге приводит к появлению несовместимых версий и снижает безопасность. Как разработчик ОС Google оказывается не в состоянии выпустить одно универсальное обновление для мобильных устройств всех производителей, а сами они мало заинтересованы в этом.

Поэтому с каждой версией Google старается выделять всё больше сервисов как пользовательские приложения с возможностью их автоматического обновления через магазин Google Play. Так уже случилось с почтой Gmail и службой поиска, которые раньше обновлялись только вместе с прошивкой.

Данные о распространённости уязвимости пока уточняются. Сам Венникс предполагает, что она затрагивает все версии до Ice Cream Sandwich включительно. По отдельным сообщениям, эксплойт работал и на Jelly Bean 4.1.x.

Другой исследователь, Джошуа Дрейк (Joshua J. Drake), недавно подтвердил, что проблема актуальна и для Google Glass версии XE12. Соответствующий эксплойт был опробован им независимо в рамках эксперимента. Используют ли его злоумышленники на практике — пока трудно сказать.

Проверка наличия уязвимости во встроенном браузере ОС Android на сайте droidsec.org (скриншот)
Проверка наличия уязвимости во встроенном браузере ОС Android на сайте droidsec.org (скриншот).

Касается ли найденная уязвимость непосредственно ваших устройств с ОС Android? Это можно узнать, зайдя встроенным браузером на страницу проверки.