Dwa lata zajęło Google'owi załatanie poważnej luki bezpieczeństwa. Korzystali z niej twórcy Pegasusa
2 lata temu Google dowiedział się o błędzie, który był wykorzystywany między innymi do instalowania Pegasusa. Naprawiająca go aktualizacja na wiele telefonów trafiła dopiero w tym roku.
Ciekawy post na blogu Projektu Zero Google'a zauważył Sekurak. Firma opowiada w nim, jak radzi sobie z walką z podatnościami dnia zerowego, a robi to na przykładzie jednej ze swoich poważnych wpadek - podatności, która jeszcze niedawno mogła być wykorzystywana do instalowania Pesausua na niektórych modelach smartfonów z Androidem.
W poszukiwaniu zaginionego błędu.
Było późne lato 2019 r., gdy Google's Threat Analysis Group, Android Security i zespół Project Zero dostali informacje na temat luki, którą pochodząca z Izraela NSO Group wykorzystuje jako część ataku umożliwiającego wprowadzenie niesławnego Pegasusa na telefony ofiar. Jeden z najlepiej znanych, szczególnie w Polsce, programów szpiegowskich, umożliwia szeroko zakrojoną inwigilację osoby, której sprzęt zostanie nim zainfekowany. Korzystają z niego służby specjalne wielu krajów (cześć osób uważa, że także te z Polski), a jego skuteczność opiera się między innymi na tym, że jest bardzo trudny do wykrycia.
Wraz z informacją o podatności pracownicy Google'a dostali kilka podpowiedzi dotyczących jej natury. Wiedzieli na przykład, że błąd jest obecny na Pixelu 1 i 2 ale już nie na Pixelu 3 i 3a, a także że luka nie występuje w jądrach Linuxa 4.14 i późniejszych. Różne informacje dawały różne wskazówki, które podpowiadały, gdzie należy szukać wykorzystywanej przez Pegasusa podatności i zawężały listę podejrzanych. W końcu, po kilku tygodniach pracy udało się zidentyfikować odpowiedni błąd.
Część Google'a wiedziała o błędzie, część nie wiedziała.
Okazało się, że błąd nie tylko został odkryty już w listopadzie 2017 r., ale także był naprawiony w lutym 2018 r. Szkopuł polegał na tym, że choć załatano lukę na jądrach Linuxa 4.14 i późniejszych, nie opisano jej jako zagrożenia dla bezpieczeństwa, więc informacja o niej nie trafiła do odpowiedniego zespołu w Google. Błąd nie został uwzględniony w comiesięcznym biuletynie na temat bezpieczeństwa Androida, a zespół za nie odpowiedzialny dowiedział się o nim dopiero we wrześniu 2019 r., czyli bagatela o dwa lata za późno.
Ot, każdemu zdarzy się czasem drobna obsuwa w robocie.
