Nie od dziś wiadomo, że błędy w różnego rodzaju oprogramowaniu, to w świecie IT chleb powszedni. Zdarzają się w każdym tyle aplikacji i w każdej firmie. Zawsze gdzieś będzie programista, który zrobi błą i tester, który tego nie zauważy. Mawiają przecież, że “błądzić jest rzeczą ludzką”. W przypadku IT ważne jednak, aby błędy, które się pojawiają szybko łatać, ponieważ grozi to poważnymi konsekwencjami. Google już nie raz się o tym przekonało, bo ich system Android jest mocno podatny na różnego rodzaju nieprawidłowości.
Mawia się, że jak coś jest do wszystkiego, to jest do niczego. Coś w tym jest i świetnie to zdanie sprawdza na rynku oprogramowania. Firma Apple stworzyła system operacyjny pod swój sprzęt i jego wydajność jest nie do podrobienia. Konkurencja niestety tworzy systemy pod wszystko: i wiadomo, jak to się kończy. W przypadku systemu Linux, kiedy weźmiemy jakąś wersję, która skompilujemy sami pod nasz sprzęt, wydajność i szybkość jest wręcz wzorowa. W przypadku systemu Android łatanie błędów uniemożliwia fakt, że używają do różne firmy w swoich smartfonach. Tak naprawdę to oni są ostatnią linią i oni odpowiadają za to, czy poprawki trafią do brandowanych wersji systemu Android.
System Google Android dorobił się ostatnimi czasy dość poważniej dziury.
Oczywiście, taki rzeczy się zdarzają. Może się jednak okazać, że z powodu brandowania, będzie kłopot z załataniem niedogodności. Podatność dotyczy procesorów Qualcomm i została nazwana QualPwn. Oczywiście, Google poprawił między innymi dwa bardzo poważne błędy, jeden w jądrze systemu, a drugi w oprogramowaniu sterownika WLAN (WiFi) w chipach Qualcomm Snapdragon. Możemy o tym przeczytać w ich najnowszym biuletynie bezpieczeństwa. Do wykrycia tych dziur przyczynił się zespół Tencent Blade. Zagrożenie jest naprawdę poważne. Okazuje się, że mogą pozwolić nawet na zdalne przejęcie kontroli nad atakowanym smartfonem i dostęp do jego zasobów z poziomu uprawnień jądra systemowego. Ważne byłoby, aby wszystkie urządzenia z systemem Android dostały odpowiednie poprawki. Istnieje jednak pewne pocieszenie. Osoba, która atakuje i chce przejąć kontrolę, musi być w tej samej sieci WiFi, co ofiara, a następnie wysłać do atakowanego smartfona specjalnie spreparowany pakiet sieciowy:
- CVE-2019-10538 – przepełnienie bufora, które wpływa na komponent Qualcomm WLAN i jądro Androida. Można go wykorzystać, wysyłając specjalnie spreparowane pakiety do interfejsu WLAN urządzenia, co umożliwia atakującemu uruchomienie kodu z uprawnieniami jądra.
- CVE-2019-10540 – przepełnienie bufora w oprogramowaniu Qualcomm WLAN i modemie, które jest dostarczane z układami Qualcomm. Można go wykorzystać, wysyłając specjalnie spreparowane pakiety do modemu urządzenia z Androidem. Pozwala to na wykonanie kodu na urządzeniu.
Firma Tenden Blade potwierdziła znalezienie podatności w smartfonach Pixel 2 i Pixel 3.
Okazuje się jednak, że dotyczy od znacznie większej ilości urządzeń. O ile w Pixelach da się ją załatać od ręki — w końcu to telefony Google i aktualizacja pojawi się od ręki, problemem pozostają urządzenia brandowane. Nie od dziś wiadomo, że na tym sprzęcie aktualizacje docierają bardzo po czasie, albo w ogóle.
Tenden Blade potwierdził, że zagrożone są także inne chipy, na czele z flagowym Snapdragonem 855.
Posiadamy też pełną listę, która jest niesamowicie okazała: IPQ8074, MSM8996AU, QCA6174A, QCA6574AU, QCA8081, QCA9377, QCA9379, QCS404, QCS405, QCS605, SD 636, SD 665, SD 675, SD 712, SD 710, SD 670, SD 730, SD 820, SD 835, SD 845, SD 850, SD 855, SD 8CX, SDA660, SDM630, SDM660 i SXR1130. Nie chce nawet szacować, ile to urządzeń. Firma Tender zgłosiła problem do Google i do Qualcomma. Poprawki także są już gotowe. Najgorsze jest to, że na tę chwilę informacja o błędzie jest już publiczna i może skorzystać z niej każdy, aby zaplanować włamanie. Niestety, nie wszyscy dostaną poprawki.
Jest to niesamowita wada systemu Android.
Mnie właśnie ta niedogodność od Androida odrzuca. Brak aktualizacji to naprawdę wielki problem. Nie jest to czepianie się. Przejęcie kontroli nad smartfonem w dzisiejszych czasach grozi naprawdę poważnymi konsekwencjami. W telefonach mamy wszystko, całe nasze życie: dane prywatne, bankowe, kontakty, informacje rodzinne, intymne. Zaiste jest, że znamy zagrożenie i nie musimy przenosić życia w świat cybernetyki.
Prawda! Czasami jest jednak wygodniej i szybciej.
Przecież technologia miała ułatwiać nam życie, a nie utrudniać. Obowiązkiem firm, które sprzedają nam produkt, jest dbanie o bezpieczeństwo urządzeń, które dystrybuują. Ci, którzy posiadają sprzęt od choćby takich marek jak Samsung, czy LG zdani są na dobra wolę gigantów rynku mobilnego. Niestety, prawda jest bardzo brutalna i raczej z tym nic się nie zrobi. Osoby, posiadające starsze urządzenia będą musiały pogodzić się z bugiem. Jeżeli zalogują się do sieci WiFi publicznej — na ulicy, restauracji, hotelu czy lotnisku, ktoś wykorzysta lukę i przejmie ich smartfon. Rozwiązaniem jest niekorzystanie z publicznych WiFi, ale kto będzie się tego trzymał?