Google виправив критичну уразливість, яка зачіпає понад 900 мільйонів Android-пристроїв

BlackBerry став першим великим виробником телефонів, який виправив уразливість QuadRooter

Кайл Віггерс 7 вересня 2016 року

На конференції з безпеки Defcon в Лас-Вегасі минулого тижня ізраїльська фірма Check Point, що спеціалізується на кібербезпеці, детально описала нову помилку під назвою “Quadrooter”, яка міститься в прошивці чіпа Qualcomm, що міститься в більш ніж 900 мільйонах пристроїв.

Тепер, схоже, що Google усунув останні два недоліки, які відносяться до цього набору вразливостей.

Check Point раніше заявляла, що вразливість могла в умілих руках передати “повний контроль” над смартфоном або планшетом нечистим на руку програмістам. Зокрема, вона може дозволити шкідливому додатку обійти вбудовані заходи безпеки Android і надати собі адміністративні привілеї – рівень доступу, який тягне за собою можливість збирати “конфіденційні особисті та корпоративні дані”.

• Щойно придбали новий iPhone? Ось 12 порад і підказок, як його освоїти
• Ця прихована функція iOS 16 перетворила мій iPhone в ідеальний гаджет для пошуку музики
• Коли мій телефон отримає Android 13? Google, Samsung, OnePlus та інші

Цей недолік вимагав від потенційної жертви встановлення шкідливого додатку – зараженого коду, який видавався за легітимне оновлення, наприклад, або піратську версію платної програми. Важливо, що це виключало додатки, розповсюджувані через Google Play Store, який Google регулярно перевіряє на наявність шкідливого програмного забезпечення. Додатки, заражені механізмом доставки Quadrooter, потрібно було б встановлювати вручну, перемикаючи параметр “Невідомі додатки” в меню налаштувань Android.

Це також, ймовірно, вимагало, щоб користувачі відключили функцію Android “Перевірка додатків”, фільтр шкідливого програмного забезпечення, який сканує на наявність відомих вразливостей в додатках – в тому числі, встановлених вручну, за межами обгородженого саду Play Store – під час встановлення.

Коли цей недолік був вперше виявлений, представник Google підтвердив це в заяві для Android Central: “Ми цінуємо дослідження Check Point, оскільки воно допомагає підвищити безпеку більш широкої мобільної екосистеми. … Експлуатація цих проблем залежить від того, що користувачі також завантажують і встановлюють шкідливі програми. Наші засоби захисту Verify Apps і SafetyNet допомагають виявляти, блокувати і видаляти додатки, які використовують подібні вразливості”.

Android Central зазначає, що захист був включений за замовчуванням у всіх версіях Android, починаючи з 4.2 Jelly Bean в 2012 році, і що він часто оновлюється новими визначеннями вірусів через Google Play Services, фреймворк Android, відповідальний за доставку оновлень додатків Google. За замовчуванням Google також проводить перевірку безпеки телефонів Android приблизно “раз на тиждень” і в деяких випадках може віддалено видаляти інфіковані програми з телефонів.

За словами Адама Донефельда (Adam Donefeld), провідного дослідника мобільної безпеки Check Point, компанія виявила чотири конкретні вразливості в прошивці Qualcomm. Поки що компанія не спостерігала жодних експлойтів “в дикій природі”, але очікує, що вони з’являться “в найближчі три-чотири місяці”. Check Point опублікувала попередній список уражених пристроїв:

• BlackBerry Priv
• Blackphone 1 і Blackphone 2
• Google Nexus 5X, Nexus 6 і Nexus 6P
• HTC One, HTC M9 та HTC 10
• LG G4, LG G5 та LG V10
• Новий Moto X від Motorola
• OnePlus One, OnePlus 2 та OnePlus 3
• Samsung Galaxy S7 та Samsung S7 Edge
• Sony Xperia Z Ultra

Представник Qualcomm повідомив ZDNet, що компанія випустила патчі для “клієнтів, партнерів і спільноти з відкритим вихідним кодом” в період з квітня по кінець липня. Google, зі свого боку, заявила, що “більшість” виправлень були включені в щомісячне оновлення безпеки Android – колекцію виправлень прошивки, яку компанія надає своїм партнерам по Android.

Останнє виправлення Google, випущене у вівторок, з’явилося після того, як ряд виробників телефонів випустили власні патчі.

Sony, наприклад, заявляє, що включила свій патч в “нормальне і регулярне обслуговування програмного забезпечення, як безпосередньо на пристроях відкритого ринку, так і через наших партнерів-операторів, тому терміни можуть відрізнятися в залежності від регіону та/або оператора”. Це означає, що компанія не поспішає випускати виправлення негайно, відповідно до блогу Xperia Blog, і, знаючи, скільки часу потрібно операторам для оновлення пристроїв, цілком ймовірно, що ми не побачимо це виправлення в пристроях Sony протягом декількох місяців.

Деякі, як, наприклад, BlackBerry, зайняли більш проактивну позицію. Кілька тижнів тому компанія оголосила, що випустила патч для Priv і DTEK50, який усуває “три з чотирьох вразливостей”, виявлених Check Point. Четверта проблема, за словами компанії, “природним чином пом’якшується” завдяки безпечному ланцюжку завантаження обох пристроїв. “Ми не думаємо, що хтось із наших клієнтів наразі піддається ризику через цю проблему”, – написала Алекса Манеа, директор BlackBerry Security, у своєму блозі. “Це чудовий приклад того, як наше зміцнення платформи Android проактивно захищає від проблем, які ще навіть не були виявлені”.

Check Point заявив, що характер експлойта підкреслює складність забезпечення того, щоб пристрої Android, нагляд за якими зазвичай включає в себе як мінімум кілька сторін, залишалися щепленими проти нових загроз. “Ця ситуація підкреслює ризики, властиві моделі безпеки Android”, – йдеться у звіті компанії. “Критичні оновлення безпеки повинні пройти через весь ланцюжок поставок, перш ніж вони будуть доступні кінцевим користувачам. Як тільки вони стають доступними, кінцевий користувач повинен обов’язково встановити ці оновлення, щоб захистити свої пристрої і дані”.

Ця проблема загострюється, коли деякі партнери відмовляються грати в м’яч. Lenovo викликала ажіотаж, коли в недавній заяві натякнула, що Moto Z, її новий флагманський телефон в США, не буде отримувати щомісячні патчі безпеки. З тих пір компанія роз’яснила свою позицію, але питання нечастих, неповних або інших безсистемних оновлень безпеки викликало активність на федеральному рівні. Федеральна торгова комісія і Федеральна комісія зв’язку складають звіт, який повинен вийти пізніше в цьому році, про процес прийняття рішень, пов’язаних з “[виправленням] вразливості на конкретному мобільному пристрої”.

Звіт Quadrooter слідує за виявленням двох основних вразливостей Android в минулому році – Stagefright і Fake ID. Перша з них, виправлення якої заплановано на вересень, використовувала вразливий код в системі відтворення мультимедійних даних Android і дозволяла програмам отримувати адміністративний доступ. Друга, тим часом, дозволяла шкідливим програмам видавати себе за легальне програмне забезпечення. Виправлення було випущено наприкінці липня.

Ця стаття була вперше опублікована 08-08-2016.

Оновлена 16.08.2016 Кайлом Віггерсом: Додана новина про патч від BlackBerry для даної уразливості.

Оновлена 09-07-2016 Кайлом Віггерсом: Додана новина про фінальні виправлення експлоіта від Google.

Рекомендації від редакції

• Samsung Galaxy S23: дата виходу, характеристики, ціна, чутки і новини
• Що таке Amazon Music: все, що потрібно знати
• Pixel Feature Drops раніше були вражаючими – тепер вони жахливо посередні
• Apple може зробити немислиме – дозволити стороннім магазинам додатків для iPhone
• Tidal надає бета-тестерам функцію живого діджея

Source: digitaltrends.com