Pokłosie fragmentacji – poprawka poważnej luki bezpieczeństwa nie trafi do 60% użytkowników Androida

News/Technologie 13.01.2015
Pokłosie fragmentacji – poprawka poważnej luki bezpieczeństwa nie trafi do 60% użytkowników Androida

Android nigdy nie słynął z ponadprzeciętnego bezpieczeństwa, ale przeważnie, gdy okazywało się, że w systemie znajduje się poważny błąd, można było liczyć na poprawkę. Jak długo trzeba było na nią czekać to już zupełnie inna historia, ale tym razem użytkownicy starszych wydań Androida od razu wiedzą, że nie mają na co liczyć. Poprawka niezwykle poważnej luki bezpieczeństwa nie trafi do nich bowiem nigdy. 

Najnowszy problem dotyczy kontrolki WebView, która punktem zapalnym była już wprawdzie wielokrotnie (chociażby na początku zeszłego roku), więc odkrycie kolejnych usterek nie powinno teoretycznie powodować większego zaskoczenia. Niestety, element który m.in. serwis 9to5google określa mianem jednego z najpopularniejszych kierunków ataku twórców złośliwego oprogramowania, tym razem nie zostanie połatany tak, aby zapewnić użytkownikom chociażby podstawowe bezpieczeństwo.

lg-g3-android-lollipop-101114

Mówiąc wprost, Google – o czym informuje Forbes – całkowicie umywa od niego ręce, zapowiadając oficjalnie, że nie zamierza wydawać w przyszłości żadnych aktualizacji WebView, w tym uwzględniających luki, których wykorzystanie może być wręcz banalnie łatwe. 9to5google uspokaja wprawdzie, że możliwości przy takim ataku nie są zbyt duże, ale tak czy inaczej, zdecydowanie nie jest to dobra wiadomość dla użytkowników.

Tym bardziej, że im dłużej luki te pozostaną „aktywne”, tym więcej pojawi się metod ataku i tym bardziej zagrożone będą starsze telefony, którymi najwyraźniej nikt już się nie przejmuje.

Masowe zagrożenie

Problem nie byłby może tak poważny, gdyby dotyczył ograniczonej liczby starszych urządzeń. Biorąc jednak pod uwagę fakt, że Google stosowało standardowy WebView aż do Androida w wersji 4.4, a wszelkie pozostałości po nim zostały usunięte dopiero w 5.0, skala zagrożenia może być naprawdę ogromna. Posiadacze telefonów z Androidem 4.4 i nowszymi mogą spać względnie bezpiecznie – tam wykorzystywany jest WebView oparty na Chromium.

Za zagrożonych mogą więc uznawać się ci, których smartfony działają pod kontrolą Androida 4.3 lub starszego, czyli przytłaczająca większość wszystkich użytkowników Zielonego Robota. Według ostatnich analiz, KitKat, odporny na ataki z wykorzystaniem WebView, pracuje na niecałych 40% wszystkich aktywnych sprzętów z systemem Google. Lollipop ma natomiast tak niski udział, że nie został ujęty w zestawieniu.

Moscow, Russia March 18, 2014 HTC Mobile Phone with Android applications on the desktop

Reszta, ponad 60% nie ma już takiego szczęścia i mogą paść ofiarą ataków wykorzystujących luki, o których wszyscy wiedzą, i których nikt nie zamierza poprawić. Odrobinę przerażający jest przy tym fakt, że mówiąc o telefonach starszych, niekoniecznie mamy na myśli urządzenia kilkuletnie. Niektórzy producenci nadal mają w swoich ofertach urządzenia pracujące właśnie w oparciu o te wydania systemu. Możemy więc kupić nowy telefon, który – o ile nie otrzyma od twórców aktualizacji do co najmniej 4.4 – na zawsze pozostanie dziurawy.

W rezultacie mówimy o setkach milionów smartfonów (według Forbesa – prawie miliardzie) w rękach użytkowników i nie wiadomo jakiej liczbie (prawdopodobnie tańszych) sprzętów czekających na nich na sklepowych półkach. I czekających na to, aż komuś uda się wykorzystać odpowiednie luki w zabezpieczeniach.

Poprawimy, jeśli ktoś poprawi za nas

Istnieje wprawdzie szansa na rozwiązanie tej sytuacji, ale ta określana przez ekspertów jest jako „mało prawdopodobna”. Pomimo tego, że Google zadeklarowało brak chęci dalszych aktualizacji WebView w poprzedniej wersji, z chęcią przyjmie wydanie… poprawione przez inną firmę lub użytkowników, o ile zostanie ono zgłoszone do AOSP. Tylko w takim przypadku możliwe jest chociaż częściowe uodpornienie milionów telefonów, przynajmniej jeśli chodzi o tę lukę.

Osobną kwestią pozostaje również to, czy taka aktualizacja w ogóle trafiłaby kiedykolwiek do chociaż połowy z zagrożonych osób. Większość producentów z zapałem godnym lepszej sprawy niemal dosłownie tłucze dziesiątki telefonów rocznie, porzucając ich wsparcie praktycznie od razu po premierze. Który z nich wysili się w tym momencie i zdecyduje się uruchomić cały proces przygotowywania i dystrybucji właściwej łatki dla kilkudziesięciu telefonów ze swojego portfolio? Prawdopodobnie większość z nich i tak otrzymała już oznaczenia „EOL”, więc mało komu będzie się chciało nawet kiwnąć palcem.

Nie zapominajmy, że mówimy o sytuacji, kiedy ktoś z dobrego serca stworzyłby odpowiednią poprawkę za Google.

Sami posiadacze zagrożonych smartfonów nie mogą zrobić zbyt wiele. Jeśli mogą zaktualizować telefon do Androida 4.4, ale z jakiegoś powodu nie zdecydowali się na to wcześniej – teraz nie powinni zwlekać z tym ani chwili. Jeśli przygotowano dla ich telefonów nieoficjalne, ale wiarygodne nieoficjalne wydanie Androida bazujące na nowsze wersji – również warto się nim poważnie zainteresować. Szczególnie, że dla niektórych jest to jedyna opcja.

Pozostali mogą w najlepszym przypadku… uważać na to, co robią na telefonie i jakie informacje na nim przechowują, a w tym samym czasie zastanawiać się, dlaczego Google postąpił tak, a nie inaczej.

* Zdjęcia pochodzą z serwisu Shutterstock

Musisz przeczytać:

Dołącz do dyskusji

MAŁO? CZYTAJ KOLEJNY WPIS...

MAŁO? CZYTAJ KOLEJNY WPIS...

Advertisement