Pierwszy w tym roku biuletyn bezpieczeństwa dla Androida

8 stycznia 2020

Firma Google opublikowała biuletyn bezpieczeństwa za grudzień dla systemu Android, w którym zamieszczono poprawki dotyczące 40 podatności tego systemu, w tym 2 krytyczne, które jeśli zostaną wykorzystane, mogą pozwolić atakującemu na zdalne wykonanie kodu. Aktualizacje zostały udostępnione dla wersji Androida 8.0, 8.1, 9 i 10, co oznacza, że starsze urządzenia będą pozbawione dostatecznej ochrony. Firma Samsung jako pierwsza zapowiedziała udostępnienie aktualizacji dla głównych modeli telefonów. W kolejce czekają pozostali producenci.

Dlaczego aktualizacje bezpieczeństwa są takie ważne?

Czy w kilku krokach da się drastycznie zwiększyć bezpieczeństwo smartfonu? Tak! Problemem nie jest, co należy zrobić, ale kto może to zrobić.

Użytkownicy nowych telefonów są w uprzywilejowanej pozycji. Starsze urządzenia nie mają większych szans na prewencyjną obronę przed złośliwym oprogramowaniem, a pamiętajmy, że wyłącznie aktualny system operacyjny jest najlepszym zabezpieczeniem przed znanymi exploitami. Komponenty niezaktualizowanego systemu Android odpowiedzialne za przetwarzanie otrzymywanych wiadomości multimedialnych zawierają luki, które jeśli nie zostaną załatane, pozwalają atakującemu uruchomić złośliwy kod. Jedyna trudność jaka stoi przed złośliwym aktorem, to pozyskanie numeru telefonu ofiary.

Pierwszy przykład dla Androida: niedostateczne zabezpieczenia na urządzeniach, które są zbudowane z komponentów firmy Qualcomm. W szczególności są to smartfony i tablety. Miliony smartfonów i tabletów. Eksperci z Check Point Research po 4-miesięcznym badaniu znaleźli krytyczne podatności we wbudowanej strefie TrustZone w procesorach Qualcomm. Luki mogą potencjalnie doprowadzić np. do wycieku zabezpieczonych danych, rootowania urządzeń, odblokowywania bootloaderów, wykonywania niewykrywalnego APT.

Efekt: miliony urządzeń bez aktualizacji. Te nowe, topowe, zapewne otrzymają wsparcie, ale dopiero po kilku miesiącach.

Apple ma przewagę nad Androidem, ponieważ tworzą własne procesory i mogą szybko rozesłać aktualizacje bezpieczeństwa do swoich urządzeń. Użytkownicy Androida ze smartfonami z procesorami Qualcomm muszą zaczekać do czasu, aż każdy producent (Nokia, Huawei, Xiaomi itd.) z osobna wyda aktualizacje.

Drugi przykład dla Androida: jeszcze jedna luka w układach Qualcomm’a. Miliony, dziesiątki, a może nawet setki milionów smartfonów jest narażonych na odzyskanie kluczy kryptograficznych, które są przechowywane w układzie scalonym w obszarze nazywanym Qualcomm Secure Execution Environment (QSEE), w tak zwanej zaufanej strefie Trusted Execution Environment (TEE).

Efekt: cykl życia nowego smartfonu z Androidem waha się od jednego roku do trzech lat. Po tym czasie producent zwykle nie udostępnia aktualizacji bezpieczeństwa. W przypadku Apple jest to o kilka lat dłużej.

Załatane w styczniu 2020 roku przez Google luki bezpieczeństwa łatwo można wykorzystać w świecie rzeczywistym. Spreparowana wiadomość multimedialna, przetworzona przez smartfon, spowoduje uruchomienie złośliwego kodu, ponieważ jeden z komponentów Androida odpowiedzialny za media zawiera groźną podatność, zezwalającą na uruchomienie kodu, dostarczając do ofiary spreparowaną wiadomość multimedialną.

Czy da się wskazać najbezpieczniejszy smartfon? Tak, to ten, który dostaje aktualizacje.

PODZIEL SIĘ:

Share on facebook
Share on twitter
Share on linkedin
Share on email
AUTOR: Adrian Ścibor
Redaktor prowadzący AVLab.pl i CheckLab.pl.
guest
0 komentarzy
Inline Feedbacks
View all comments

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBIKEY

Klucze zabezpieczające

100% ochrony przed phishingiem

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA E-MAIL I ZAWSZE BĄDŹ NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA