Стиль Передачи

Безопасность Android несовершенна, и Marshmallow не может ее исправить

Какой фильм посмотреть?
 

Источник: Twitter.com/Android

Источник: Thinkstock

Источник: Thinkstock

Это была не самая лучшая неделя для безопасности операционной системы Android, поскольку продолжаются отчеты о состоянии нескольких устойчивых уязвимостей, затрагивающих миллионы пользователей. И похоже, что даже Android Marshmallow, следующий крупный выпуск программного обеспечения, которое Google выпустит этой осенью, не собирается делать много для смягчения серьезных проблем безопасности, лежащих в основе самой популярной в мире мобильной операционной системы.

Дэн Гудин сообщает для Ars Technica, что два отдельных дефекта кода продолжают подвергать риску миллионы пользователей. Первое связано с недавним обновлением от Google, направленным на исправление уязвимости, которая позволяла злоумышленникам запускать вредоносный код примерно на 950 миллионах телефонов Android, используя не более чем текстовое сообщение, отправленное на номер телефона пользователя. Через семь дней после того, как Google развернул исправление, исследователи безопасности сообщили, что исправление, которое Google использует с апреля, само по себе настолько ущербно, что злоумышленники все еще могут использовать уязвимость. «Патч представляет собой 4 строки кода и (предположительно) был проверен инженерами Google перед отправкой», - сообщили Ars Technica Джордан Грусковняк и Аарон Портной из охранной фирмы Exodus Intelligence. «Общественность в целом считает, что текущий патч защищает их, хотя на самом деле это не так».

Уязвимость является результатом ошибки переполнения буфера в Stagefright, библиотеке кода, обрабатывающей видео в операционной системе Android. Патч, который был отправлен исследователями, которые обнаружили уязвимость и лично сообщили о ней в Google в апреле, предотвращает некоторые, но не все эксплойты.

Буферы действуют как контейнеры для определенных объемов данных, и при превышении указанного размера содержимое может быть выполнено. Новые версии Android усложняют выполнение эксплойтов переполнения с помощью меры безопасности, называемой рандомизацией разметки адресного пространства, которая рандомизирует места, в которые загружается вредоносный код. Однако более продвинутые хакеры часто могут обойти защиту.

Как сообщает Apple Insider, Google выпустил очередное обновление своим партнерам, и Nexus 4, 5, 6, 7, 9, 10 и Nexus Player могут быть первыми, кто получит обновление, когда оно выйдет в сентябре. Пока неясно, когда телефоны других производителей получат новый патч. По оценке Гудина, «инцидент подчеркивает, насколько сложно обеспечить безопасность».

за какую команду играли muggsy bogues

В другом инциденте исследователи из компании по обеспечению безопасности MWR Labs сообщили о недостатке, который позволяет вредоносным приложениям вырваться из изолированной программной среды безопасности Android, ключевой защиты, которая предотвращает доступ к паролям и конфиденциальным данным, связанным с одним приложением, другим. Ошибка, которая находится в приложении Android Admin, позволяет приложениям обходить ограничения и читать произвольные файлы с использованием символических ссылок.

Ars Technica отмечает, что ряд уязвимостей и трудности с установкой исправлений на устройствах пользователей сказываются на операционной системе Android. Хотя в настоящее время нет никаких признаков того, что уязвимости действительно используются, пользователи обеспокоены. И не зря: даже следующая версия Android, недавно анонсированная как Marshmallow, не будет устранять недостатки модели безопасности Android.

Ина Фрид и Марк Берген сообщают для Re / Code, что обе недавние уязвимости Android «подчеркивают ноющая головная боль, созданная Google с ОС, столь зависимой от партнеров по оборудованию, многие из которых изо всех сил пытаются сохранить прибыль. И это показывает, что Google будет продолжать бороться с проблемами по мере того, как Android переходит на другие устройства, такие как автомобили, носимые устройства и домашняя автоматизация ». Google не контролирует процесс обновления Android, который зависит от производителей устройств и операторов беспроводной связи.

Re / Code отмечает, что текущие проблемы безопасности Android напоминают те, с которыми Microsoft столкнулась с Windows «когда-то». Доминирующая операционная система оказалась объектом постоянных атак, и многие компании неохотно обновляли свои серверы и ПК без независимого тестирования. Но хотя у них была возможность устанавливать обновления, как только Microsoft сделала их доступными, Google выпускает исправления, которые обычно отправляются производителю телефонов, а не конечному пользователю. Производители телефонов, уже испытывающие стресс из-за низкой рентабельности и жесткой конкуренции, часто не обновляют уже проданные телефоны. Это проблема крупных международных производителей смартфонов и, возможно, еще более серьезная проблема для небольших местных производителей, продающих бюджетные телефоны.

Поскольку основные обновления программного обеспечения также часто проходят через операторов, которые проводят собственное тестирование, на утверждение основных выпусков часто уходят месяцы, если они вообще становятся доступными. Многие в отрасли признают, что обновления безопасности Android требуют нового подхода, и Google уже обязалась выпускать ежемесячные обновления - график, который Samsung и LG согласились поддерживать. Google недавно заявил, что будет выпускать ежемесячные обновления специально для безопасности устройств Nexus, которые являются единственными устройствами, которые Google может полностью контролировать.

Еще из шпаргалки по Gear & Style:

  • Что вам нужно знать о новых тарифах и ценах Verizon
  • Лучшие характеристики новых смартфонов Samsung Galaxy
  • 5 шагов к поиску лучшего смартфона или мобильного тарифного плана