Pierwszy w tym roku biuletyn bezpieczeństwa dla Androida

8 stycznia, 2020

Firma Google opublikowała biuletyn bezpieczeństwa za grudzień dla systemu Android, w którym zamieszczono poprawki dotyczące 40 podatności tego systemu, w tym 2 krytyczne, które jeśli zostaną wykorzystane, mogą pozwolić atakującemu na zdalne wykonanie kodu. Aktualizacje zostały udostępnione dla wersji Androida 8.0, 8.1, 9 i 10, co oznacza, że starsze urządzenia będą pozbawione dostatecznej ochrony. Firma Samsung jako pierwsza zapowiedziała udostępnienie aktualizacji dla głównych modeli telefonów. W kolejce czekają pozostali producenci.

Dlaczego aktualizacje bezpieczeństwa są takie ważne?

Czy w kilku krokach da się drastycznie zwiększyć bezpieczeństwo smartfonu? Tak! Problemem nie jest, co należy zrobić, ale kto może to zrobić.

Użytkownicy nowych telefonów są w uprzywilejowanej pozycji. Starsze urządzenia nie mają większych szans na prewencyjną obronę przed złośliwym oprogramowaniem, a pamiętajmy, że wyłącznie aktualny system operacyjny jest najlepszym zabezpieczeniem przed znanymi exploitami. Komponenty niezaktualizowanego systemu Android odpowiedzialne za przetwarzanie otrzymywanych wiadomości multimedialnych zawierają luki, które jeśli nie zostaną załatane, pozwalają atakującemu uruchomić złośliwy kod. Jedyna trudność jaka stoi przed złośliwym aktorem, to pozyskanie numeru telefonu ofiary.

Pierwszy przykład dla Androida: niedostateczne zabezpieczenia na urządzeniach, które są zbudowane z komponentów firmy Qualcomm. W szczególności są to smartfony i tablety. Miliony smartfonów i tabletów. Eksperci z Check Point Research po 4-miesięcznym badaniu znaleźli krytyczne podatności we wbudowanej strefie TrustZone w procesorach Qualcomm. Luki mogą potencjalnie doprowadzić np. do wycieku zabezpieczonych danych, rootowania urządzeń, odblokowywania bootloaderów, wykonywania niewykrywalnego APT.

Efekt: miliony urządzeń bez aktualizacji. Te nowe, topowe, zapewne otrzymają wsparcie, ale dopiero po kilku miesiącach.

Apple ma przewagę nad Androidem, ponieważ tworzą własne procesory i mogą szybko rozesłać aktualizacje bezpieczeństwa do swoich urządzeń. Użytkownicy Androida ze smartfonami z procesorami Qualcomm muszą zaczekać do czasu, aż każdy producent (Nokia, Huawei, Xiaomi itd.) z osobna wyda aktualizacje.

Drugi przykład dla Androida: jeszcze jedna luka w układach Qualcomm’a. Miliony, dziesiątki, a może nawet setki milionów smartfonów jest narażonych na odzyskanie kluczy kryptograficznych, które są przechowywane w układzie scalonym w obszarze nazywanym Qualcomm Secure Execution Environment (QSEE), w tak zwanej zaufanej strefie Trusted Execution Environment (TEE).

Efekt: cykl życia nowego smartfonu z Androidem waha się od jednego roku do trzech lat. Po tym czasie producent zwykle nie udostępnia aktualizacji bezpieczeństwa. W przypadku Apple jest to o kilka lat dłużej.

Załatane w styczniu 2020 roku przez Google luki bezpieczeństwa łatwo można wykorzystać w świecie rzeczywistym. Spreparowana wiadomość multimedialna, przetworzona przez smartfon, spowoduje uruchomienie złośliwego kodu, ponieważ jeden z komponentów Androida odpowiedzialny za media zawiera groźną podatność, zezwalającą na uruchomienie kodu, dostarczając do ofiary spreparowaną wiadomość multimedialną.

Czy da się wskazać najbezpieczniejszy smartfon? Tak, to ten, który dostaje aktualizacje.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]