Google не может закрыть уязвимость на 70% мобильных устройств с ОС Android Андрей Васильков
Google не может закрыть уязвимость на 70% мобильных устройств с ОС Android
Андрей Васильков
Опубликовано 18 февраля 2014
Джо Венникс (Joe Vennix) — специалист компании Rapid7, занимающейся вопросами информационной безопасности, — обнаружил уязвимость во встроенном браузере ОС Android. Она затрагивает свыше 70% смартфонов, позволяя запустить вредоносный код через модифицированную веб-страницу, QR-код или злонамеренно изменённое приложение.
Подобную уязвимость в браузере Apple Safari Венникс нашёл год назад. Её долго не устраняли, но в итоге Apple всё же выпустила патч, применение которого для пользователей в целом прошло незаметно.
Для компании Google закрыть дыру в любом встроенном программном компоненте будет сейчас значительно сложнее. Основная проблема в том, что до сих пор отсутствует механизм быстрой доставки критических обновлений для компонентов прошивки непосредственно на мобильные устройства во всём их многообразии.
Инициатива Android Upgrade Alliance, призванная сократить срок типичного ожидания обновлений, не нашла поддержки у производителей смартфонов и в итоге провалилась. Теперь даже не все смартфоны собственной серии Nexus получают последние апдейты.
К примеру, бремя поддержки Samsung GT-I9250 Galaxy Nexus было разделено между Google и Samsung. На сегодня автоматическое обновление «по воздуху» получили только те аппараты, у которых был прошит идентификатор Google (yakju). Абсолютно идентичные смартфоны, поддержкой которых по жребию должна заниматься Samsung, застряли на версии 4.2.1 уже больше полугода. Апдейт до версии 4.4 для них не предусмотрен вовсе.
Galaxy Nexus не получит последнее обновление по чисто формальной причине (скриншот сайта support.google.com).
С моделями других производителей всё ещё хуже. Многие из них никогда не получат официального обновления даже до версии 4.x, хотя их аппаратная часть не накладывает на это серьёзных ограничений.
По этим причинам любой эксплойт в ОС Android сейчас куда более опасен, чем в других мобильных операционных системах. Выходов из данной ситуации я вижу два:
использовать альтернативные приложения вместо встроенных;
Первый метод редко будет результативным. Многие сторонние приложения реально работают лишь как интерфейсная надстройка над предустановленными компонентами. Следовательно, их часто будут касаться те же проблемы безопасности.
По данным агентства Strategy Analytics, доля операционной системы Android на рынке мобильных ОС составляет сейчас почти 79%.
Рыночная доля Android и других мобильных ОС (изображение: strategyanalytics.com).
Только за последний год было реализовано свыше 780 млн смартфонов с Android. Последняя версия 4.4 (KitKat) установлена лишь на 1,8% из них, а предыдущая 4.3 — на 8,9%.
Связано это с политикой распространения ОС. В отличие от Microsoft и Apple, Google предоставляет производителям смартфонов и операторам сотовой связи широкие возможности по модификации своей операционной системы. Обычно они касаются интерфейса или установки различных дополнений и не затрагивают системных компонентов. Однако отсутствие жёстких требований в итоге приводит к появлению несовместимых версий и снижает безопасность. Как разработчик ОС Google оказывается не в состоянии выпустить одно универсальное обновление для мобильных устройств всех производителей, а сами они мало заинтересованы в этом.
Поэтому с каждой версией Google старается выделять всё больше сервисов как пользовательские приложения с возможностью их автоматического обновления через магазин Google Play. Так уже случилось с почтой Gmail и службой поиска, которые раньше обновлялись только вместе с прошивкой.
Данные о распространённости уязвимости пока уточняются. Сам Венникс предполагает, что она затрагивает все версии до Ice Cream Sandwich включительно. По отдельным сообщениям, эксплойт работал и на Jelly Bean 4.1.x.
Другой исследователь, Джошуа Дрейк (Joshua J. Drake), недавно подтвердил, что проблема актуальна и для Google Glass версии XE12. Соответствующий эксплойт был опробован им независимо в рамках эксперимента. Используют ли его злоумышленники на практике — пока трудно сказать.
Проверка наличия уязвимости во встроенном браузере ОС Android на сайте droidsec.org (скриншот).
Касается ли найденная уязвимость непосредственно ваших устройств с ОС Android? Это можно узнать, зайдя встроенным браузером на страницу проверки.
К оглавлению
Более 800 000 книг и аудиокниг! 📚
Получи 2 месяца Литрес Подписки в подарок и наслаждайся неограниченным чтением
ПОЛУЧИТЬ ПОДАРОКЧитайте также
Смартфон Nexus 5 и ОС Android 4.4 представлены официально Андрей Васильков
Смартфон Nexus 5 и ОС Android 4.4 представлены официально Андрей Васильков Опубликовано 01 ноября 2013 Компания Google официально представила операционную систему Android 4.4 (KitKat) и первый смартфон, работающий под её управлением – Nexus 5. В ожидании презентации
Восемь лучших бесплатных антивирусов для ОС Android Андрей Васильков
Восемь лучших бесплатных антивирусов для ОС Android Андрей Васильков Опубликовано 16 мая 2013 Сегодня заразить смартфон или планшет под управлением операционной системы Android довольно просто, даже если соблюдать рекомендации и устанавливать
Google I/O: новый Android, Google TV и машинное обучение Андрей Письменный
Google I/O: новый Android, Google TV и машинное обучение Андрей Письменный Опубликовано 21 мая 2010 года Несмотря на то, что первый день конференции I/O, проводимой компанией Google для разработчиков, принёс много интересных анонсов, во второй, заключительный её день,
Windows Mobile в шкуре Google Android Андрей Крупин
Windows Mobile в шкуре Google Android Андрей Крупин Набивший оскомину интерфейс Windows Mobile не дает покоя многим разработчикам, стремящимся вдохнуть новую жизнь в рабочее окружение операционной системы и упростить управление мобильными устройствами. Одни энтузиасты, следуя
Обзор браузера Opera Mobile 10.1 для Google Android Андрей Письменный
Обзор браузера Opera Mobile 10.1 для Google Android Андрей Письменный Опубликовано 12 ноября 2010 года Известно, что хотя бы одна из версий браузера Opera способна работать едва ли не на каждом современном телефоне. Однако не все версии равны: Opera Mini, в отличие от Opera
Google Android 3.0 — специально для планшетов Андрей Письменный
Google Android 3.0 — специально для планшетов Андрей Письменный Опубликовано 03 февраля 2011 года После того как в начале 2010 года компания Apple начала продажи планшета iPad, многие конкуренты по рынку мобильных телефонов посчитали своим долгом тоже выпустить
Обнаружен крупнейший ботнет из мобильных устройств с ОС Android Андрей Васильков
Обнаружен крупнейший ботнет из мобильных устройств с ОС Android Андрей Васильков Опубликовано 24 сентября 2013 Российский разработчик антивирусных программ ООО «Доктор Веб», сообщает о выявлении специалистами компании самой крупной среди всех
Quip — современный текстовый редактор для мобильных пользователей Андрей Васильков
Quip — современный текстовый редактор для мобильных пользователей Андрей Васильков Опубликовано 13 августа 2013 Два программиста из Google сформировали отдельную команду из четырнадцати разработчиков и написали Quip — текстовый редактор, подкупающий
Автоцензор для Google Glass и носимых камер Андрей Васильков
Автоцензор для Google Glass и носимых камер Андрей Васильков Опубликовано 28 января 2014 На февральском симпозиуме по сетевым и распределённым системам безопасности в Сан-Диего будет представлена разработка под названием PlaceAvoider.Google Glass и другие носимые
Google Glass как спутник жизни Андрей Васильков
Google Glass как спутник жизни Андрей Васильков Опубликовано 19 августа 2013 Один из первых обладателей Google Glass — веб-дизайнер Гомер Гейнс (Homer Gaines) — поделился свежим опытом практического применения очков. Он утверждает, что сегодня это единственное
Тестовые приложения для смартфонов с ОС Android Андрей Васильков
Тестовые приложения для смартфонов с ОС Android Андрей Васильков Опубликовано 20 августа 2013 Среди множества бесплатных программ для смартфонов с ОС Android особое место занимают тестовые и диагностические утилиты. Помимо удобного способа проверки
Модульные роботы M-Blocks, которых не может быть Андрей Васильков
Модульные роботы M-Blocks, которых не может быть Андрей Васильков Опубликовано 07 октября 2013 Молодой инженер Джон Романишин (John Romanishin) создал роботов M-Blocks, которые совсем недавно считались невозможными. Они уникальны тем, что умеют выполнять
Nikon и Android: взаимная мимикрия мобильных гаджетов Андрей Васильков
Nikon и Android: взаимная мимикрия мобильных гаджетов Андрей Васильков Опубликовано 10 апреля 2014 Производители смартфонов стремительно отбирают клиентов у фирм, выпускающих фото- и видеокамеры потребительского уровня, медиаплееры и GPS-навигаторы.
Две операционные системы Google: как подружатся Chrome OS и Android Андрей Письменный
Две операционные системы Google: как подружатся Chrome OS и Android Андрей Письменный Опубликовано 22 марта 2013В марте 2013 года исполнительный директор Google Ларри Пейдж Сандар Пичай показывает Chromebook Pixel, фото — Cnet.comсделал важное объявление: глава мобильного подразделения компании
Как расширить возможности камеры смартфона с ОС Android Андрей Васильков
Как расширить возможности камеры смартфона с ОС Android Андрей Васильков Опубликовано 30 августа 2013 Множество сюжетно интересных фотографий сегодня снимается не профессиональной техникой, а смартфонами. В отличие от «зеркалки» или «мыльницы»,
Google может убить Android, чтобы спасти его Андрей Письменный
Google может убить Android, чтобы спасти его Андрей Письменный Опубликовано 28 февраля 20132012 год, Барселона, конгресс MWC. Посетителям каждого стенда, где показывают продукт на основе Android (а это примерно каждый второй стенд) получают в подарок значки с зелёными роботами. Главный