Zeszłoroczne telefony są zagrożone, a Google mówi, że fragmentacja Androida to nie problem

Wspomniana luka o oznaczeniu CVE-2014-3100, o której wspomina serwis MaximumPC, ma ogromny wpływ na wszystkie kluczowe usługi Android KeyStore i polega na przepełnieniu bufora dla stosu przechowywanych kluczy. Skutkiem istnienia takiej dziury może być doprowadzenie przez cyberprzestępców do wycieku danych. Ten z kolei umożliwia nieautoryzowany dostęp do operacji kryptograficznych bądź zablokowanie urządzenia. Problem ten został już rozwiązany w wersji systemu Android 4.4 KitKat. Co jednak z tego, skoro ten jest obecny jedynie w 9% obecnych na rynku urządzeń mobilnych?

Komunikat bezpieczeństwa z opisem błędu został przesłany do Google już dziewięć miesięcy temu. Ze względu na to, że luka ta może zostać wykorzystana w ogromnej liczbie urządzeń, IBM Security nie zdecydował się na upublicznienie tej dziury ze względu na ogromną liczbę urządzeń, w których jest obecna  i może zostać użyta przez cyberprzestępców. W tym momencie warto pochwalić IBM za bardzo rozsądne działanie, które jest zupełnie obce twórcom Androida.

Firma z Mountain View wychodzi z założenia, że aktualizacje systemu mają na celu wyłącznie dodawanie nowych funkcji oraz poprawianie wyglądu kluczowych aplikacji. To jednak w żadnym wypadku nie jest prawda. Owszem, wyżej wymienione elementy są bardzo ważne, ale zdecydowanie najważniejszym jest bezpieczeństwo, którego zaktualizowanie samych Play Services nie jest w stanie zapewnić. Do tego konieczne jest zaktualizowanie całego systemu, co obecnie często nie jest możliwe przez ogromną liczbę producentów sprzętu i stosowanie dziesiątek rodzajów autorskich nakładek.

Jednak niebawem może się to zmienić, pokazuje to przykład telewizorów oraz zegarków z systemem Android. W przypadku pierwszej kategorii sprzętów Google oficjalnie potwierdził, że wszystkie dostępne w niej modele będą pozbawione nakładek producentów. W przypadku drugiej są to tylko moje domysły poparte dotychczasowymi materiałami promocyjnymi oraz logiką. Bo co tak naprawdę da się zmienić na małym, dwucalowym ekranie? Pole manewru nie jest tu zbyt wielkie i zdecydowana większość producentów zapewne zdecyduje się pozostawić w nowych urządzeniach czystego Androida, dla świętego spokoju. Tym samym fragmentacja Androida w tej kategorii produktów będzie znacznie mniejsza niż w przypadku smartfonów i tabletów.

Mogłoby, ale… prawdopodobnie nie będzie mieć. Idealnym krokiem byłoby nakazanie przez Google tworzenie dwóch wersji oprogramowania – czystego, zawsze aktualnego systemu oraz wersji mniej aktualnej, ale wzbogaconej o liczne dodatki producentów. Prawdopodobnie w takiej sytuacji fragmentacja Androida i tak byłaby ogromnym problemem, gdyż poszczególnie producenci sprzętu agresywnie promowaliby swoje rozwiązania. Mimo to Google przynajmniej mógłby powiedzieć, że daje każdemu użytkownikowi możliwość aktualizacji Androida, jednak nie zamierza nikogo do tego zmuszać.

Byłoby to rozwiązanie idealne dla użytkowników, bardzo dobre dla Google’a i niezbyt uciążliwe dla producentów. Mogłoby raz na zawsze rozwiązać problem fragmentacji i sprawić, że osoby zamierzające kupić bezpieczne urządzenie mobilne, nie musiałyby decydować się na produkty Apple lub Microsoftu. Jednak ze względu na ignorancję Google w kwestii bezpieczeństwa nie powinniśmy się tego spodziewać. Tak samo jak tego, że dosyć znaczący błąd znaleziony przez IBM zostanie załatany też w starszych Androidach.

AKTUALIZACJA [12:00]

Według właśnie zaktualizowanego źródła okazało się, że dziura ta dotyczy wyłącznie Androida 4.3, przez co zagrożonych atakiem jest zaledwie kilka do kilkunastu procent użytkowników Androida. Nie zmienia to jednak faktu, że przez 9 miesięcy Google nie poprawił tego błędu dla systemu innego niż najnowszy. Firma z Mountain View obiecuje, że w przyszłości absolutnie wszystkie poprawki bezpieczeństwa będą niezależne od wersji systemu i dostarczane przez Google Play Services, ale z potwierdzeniem tych informacji czekamy na premierę tego modelu dystrybucji łatek i sprawdzenie jego efektywności.