Android drošība ir kļūdaina, un Marshmallow to nevar novērst
Šī nav bijusi laba nedēļa Android operētājsistēmas drošībai, turpinot ziņojumus par vairāku pastāvīgu ievainojamību stāvokli, kas ietekmē miljoniem lietotāju. Izskatās, ka pat Android Marshmallow, nākamais lielākais programmatūras izlaidums, kuru Google laidīs klajā šoruden, daudz nedarīs, lai mazinātu galvenās drošības problēmas, kas ir pasaules populārākās mobilās operētājsistēmas pamatā.
Dens Gudins ziņo Ars Technica par to divi atsevišķi koda defekti turpina riskēt miljoniem lietotāju. Pirmais ir saistīts ar neseno Google atjauninājumu, kura mērķis bija novērst kļūdu, kas uzbrucējiem ļāva izpildīt ļaunprātīgu kodu aptuveni 950 miljonos Android tālruņu - izmantojot tikai tekstu, kas nosūtīts uz lietotāja tālruņa numuru. Septiņas dienas pēc tam, kad Google ieviesa labojumu, drošības pētnieki ziņoja, ka plāksteris, kas Google ir bijis kopš aprīļa, pats par sevi ir tik kļūdains, ka uzbrucēji joprojām var izmantot ievainojamību. 'Plāksteris ir 4 koda rindas, un pirms nosūtīšanas to (domājams) pārskatīja Google inženieri,' Ars Technica pastāstīja Džordans Gruskovņaks un Ārons Portnojs no drošības firmas Exodus Intelligence. 'Sabiedrība kopumā uzskata, ka pašreizējais plāksteris viņus aizsargā, pat ja tas tā nav.'
Ievainojamība ir bufera pārpildes kļūdas rezultāts koda bibliotēkā Stagefright, kas apstrādā video operētājsistēmā Android. Plāksteris, kuru iesniedza pētnieki, kuri atklāja trūkumu un aprīlī privāti ziņoja par to Google, novērš dažus, bet ne visus izmantojumus.
paige (cīkstonis) neto vērtība
Buferi darbojas kā konteineri noteiktam datu apjomam, un, kad tiek pārsniegts noteiktais lielums, saturu var izpildīt. Jaunās Android versijas apgrūtina pārpildes izmantošanu, izmantojot drošības pasākumu, ko sauc par adreses vietas izkārtojuma nejaušināšanu, kas nejaušina vietas, kurās tiek ielādēts ļaunprātīgais kods. Tomēr progresīvāki hakeri bieži var apiet mazināšanu.
Kā ziņoja Apple Insider, Google izdeva vēl vienu atjauninājumu saviem partneriem, un Nexus 4, 5, 6, 7, 9, 10 un Nexus Player var būt pirmie, kas saņems atjauninājumu, kad tas tiks izsniegts septembrī. Nav skaidrs, kad jauno plāksteri iegūs tālruņi, kas nav Nexus tālruņi. Pēc Gudina vērtējuma: 'Incidents uzsver, cik grūti ir panākt pareizu drošību.'
Atsevišķā incidentā pētnieki no apsardzes firmas MWR Labs ziņoja par kļūdu, kas ļaunprātīgām lietotnēm ļauj izkļūt no Android drošības smilškastes, kas ir galvenā aizsardzība, kas neļauj citām piekļūt parolēm un sensitīviem datiem, kas saistīti ar vienu lietotni. Kļūda, kas atrodas lietojumprogrammā Android Admin, ļauj lietotnēm apiet ierobežojumus un lasīt patvaļīgus failus, izmantojot simboliskas saites.
Valeri Bure un Candace Cameron kāzas
Ars Technica atzīmē, ka ievainojamības un grūtības iegūt labojumus, kas tiek instalēti lietotāju ierīcēs, Android operētājsistēmai rada zaudējumus. Lai gan pašlaik nav norāžu, ka ievainojamības patiešām tiek izmantotas, lietotāji ir noraizējušies. Un laba iemesla dēļ: Pat nākamajā Android versijā, kas nesen tika paziņota kā Marshmallow, netiks pievērsta uzmanība Android kļūdainajam drošības modelim.
Ina Fried un Mark Bergen ziņojumā Re / Code ziņo, ka abas nesenās Android ievainojamības “pasvītro nagging galvassāpes Google ir izveidojusi ar OS, kas ir tik ļoti atkarīgs no aparatūras partneriem, no kuriem daudzi cenšas saglabāt peļņu. Un tas parāda, ka Google turpinās cīnīties ar šīm problēmām, kad Android pāriet uz citām ierīcēm, piemēram, automašīnām, valkājamiem piederumiem un mājas automatizāciju. ” Google nekontrolē Android atjaunināšanas procesu, kas ir atkarīgs no ierīču veidotājiem un bezvadu pārvadātājiem.
Re / Code atzīmē, ka Android pašreizējās drošības problēmas atgādina tās problēmas, kuras Microsoft piedzīvoja ar Windows “tajā pašā laikā”. Dominējošā operētājsistēma nonāca pastāvīgu uzbrukumu mērķī, un daudzi uzņēmumi nevēlējās atjaunināt savus serverus un personālos datorus bez neatkarīgas testēšanas. Bet, lai gan viņiem bija iespēja instalēt atjauninājumus, tiklīdz Microsoft tos darīja pieejamus, Google izlaiž ielāpus, kas parasti nonāk tālruņu ražotājam, nevis gala lietotājam. Tālruņu ražotāji, kas jau ir uzsvērti zemās rezerves un spēcīgās konkurences apstākļos, bieži neatjaunina jau pārdotos tālruņus. Tā ir problēma lieliem, daudznacionāliem viedtālruņu ražotājiem un, iespējams, lielāka problēma maziem, vietējiem ražotājiem, kas pārdod budžeta tālruņus.
Tā kā galvenie programmatūras atjauninājumi bieži notiek arī ar mobilo sakaru operatoru starpniecību, kuri paši veic testēšanu, lielāko izlaižu apstiprināšanai bieži nepieciešami mēneši, ja tie vispār ir pieejami. Daudzi nozares pārstāvji atzīst, ka Android drošības atjauninājumiem ir nepieciešama jauna pieeja, un Google jau ir apņēmusies ieviest ikmēneša atjauninājumus - grafiku, kuru Samsung un LG ir piekritušas atbalstīt. Google nesen paziņoja, ka tas ikmēneša atjauninājumus sūtīs tieši Nexus ierīču drošībai, kas ir vienīgie, kurus Google var pilnībā kontrolēt.
Vairāk no Gear & Style apkrāptu lapas:
- Kas jums jāzina par Verizon jaunajiem plāniem un cenām
- Samsung jauno Galaxy viedtālruņu labākās funkcijas
- 5 soļi, lai atrastu labāku viedtālruņa vai mobilā tālruņa plānu