Google не может закрыть уязвимость на 70% мобильных устройств с ОС Android
Джо Венникс (Joe Vennix) – специалист компании Rapid7, занимающейся вопросами информационной безопасности,
Подобную уязвимость в браузере Apple Safari Венникс
Для компании Google закрыть дыру в любом встроенном программном компоненте будет сейчас значительно сложнее. Основная проблема в том, что до сих пор отсутствует механизм быстрой доставки критических обновлений для компонентов прошивки непосредственно на мобильные устройства во всём их многообразии.
Инициатива Android Upgrade Alliance, призванная сократить срок типичного ожидания обновлений, не нашла поддержки у производителей смартфонов и в итоге провалилась. Теперь даже не все смартфоны собственной серии Nexus получают последние апдейты.
К примеру, бремя поддержки Samsung GT-I9250 Galaxy Nexus было разделено между Google и Samsung. На сегодня автоматическое обновление «по воздуху» получили только те аппараты, у которых был прошит идентификатор Google (yakju). Абсолютно идентичные смартфоны, чьей поддержкой по жребию должна заниматься Samsung, застряли на версии 4.2.1. уже больше полугода. Апдейт до версии 4.4 для них не предусмотрен вовсе.
С моделями других производителей всё ещё хуже. Многие из них никогда не получат официального обновления даже до версии 4.x, хотя их аппаратная часть не накладывает на это существенных ограничений.
По этим причинам любой эксплоит в ОС Android сейчас куда более опасен, чем в других мобильных операционных системах. Выхода из данной ситуации я вижу два:
- использовать альтернативные приложения вместо встроенных;
- получать root и дорабатывать/заменять уязвимые компоненты самостоятельно.
Первый метод редко будет результативным. Многие сторонние приложения реально работают лишь как интерфейсная надстройка над предустановленными компонентами. Следовательно, их часто будут затрагивать те же проблемы безопасности.
По данным агентства Strategy Analytics, доля операционной системы Android на рынке мобильных ОС
Только за последний год было реализовано свыше 780 млн смартфонов с Android. Последняя версия 4.4 (KitKat)
Связано это с политикой распространения ОС. В отличие от Microsoft и Apple, Google предоставляет производителям смартфонов и операторам сотовой связи широкие возможности по модификации своей операционной системы. Обычно они касаются интерфейса или установки различных дополнений и не затрагивают системные компоненты. Однако отсутствие жёстких требований в итоге приводит к появлению несовместимых версий и снижает безопасность. Как разработчик ОС, Google оказывается не в состоянии выпустить одно универсальное обновление для мобильных устройств всех производителей, а сами они мало заинтересованы в этом.
Поэтому с каждой версией Google старается выделять всё больше сервисов как пользовательские приложения с возможностью их автоматического обновления через магазин Google Play. Так уже случилось с почтой Gmail и службой поиска, которые раньше обновлялись только вместе с прошивкой.
Данные о распространённости уязвимости пока уточняются. Сам Венникс
Другой исследователь – Джошуа Дрейк (Joshua J. Drake) недавно
Касается ли найденная уязвимость непосредственно ваших устройств с ОС Android? Это можно узнать,