Уразливість Quadrooter: 5 речей, які потрібно знати про цю ляку безпеки Android

Ще раз, це сезон страхіття безпеки Android. Сьогодні вранці вийшла новина про останню колекцію вразливих місць, яку виявила охоронна фірма Check Point та згрупувалась під привабливим монітором "QuadRooter". Як завжди, більша частина звітів була зосереджена на найгірших сценаріях та вражаюче величезній кількості потенційно вразливих пристроїв - у цьому випадку приблизно 900 мільйонів.

Ми розберемо, що саме відбувається, і наскільки ви вразливі. Читайте далі.

1. Це річ Qualcomm

Контрольно-пропускний пункт спеціально орієнтований на Qualcomm через його домінуюче положення в екосистемі Android. Оскільки так багато Android-телефонів використовують апаратне забезпечення Qualcomm, драйвери Qualcomm сприяють тому, щоб програмне забезпечення на цих телефонах створювало привабливу ціль - єдиний набір вразливих місць, що впливає на значну частину бази користувачів Android. (Зокрема, помилки впливають на мережу, графіку та код розподілу пам'яті.)

Водії Qualcomm - велика, приваблива ціль.

Усі чотири подвиги, що входять до QuadRooter, впливають на драйвери Qualcomm, тому якщо у вас є телефон, який взагалі не використовує апаратне забезпечення Qualcomm - наприклад, Galaxy S6 або Note 5 (для якого використовується власний процесор Exynos Samsung і модем Shannon), повторно це не впливає.

2. Це серйозно, але немає жодних доказів його використання в дикій природі

Як випливає з назви, QuadRoot - це сукупність чотирьох подвигів у коді Qualcomm, які можуть дозволити зловмисному додатку отримати кореневі привілеї - тобто доступ робити в основному все на телефоні. Звідти ви можете придумати будь-яку кількість сценаріїв кошмарів: зловмисники, які слухають телефонні дзвінки, шпигують за вашою камерою, розкрадають фінансові дані або блокують ваші дані за допомогою викупу.

Ніхто ще не говорить про ці подвиги, які використовуються в дикій природі, що добре. (Підрахунок Check Point, що погані хлопці зможуть упакувати його у функціонування зловмисного програмного забезпечення протягом трьох-чотирьох місяців.) Однак, враховуючи проблеми, пов’язані з оновленням програмного забезпечення на мільярдах плюс пристрої Android там, у творців шкідливих програм буде достатньо часу, щоб розібратися практичне застосування.

Але …

3. Можливо, ти насправді не "вразливий"

QuadRooter - одна з багатьох проблем безпеки Android, яка вимагає встановити додаток вручну. Це означає, що вручну переходите до налаштувань безпеки та перемикаєте прапорець "Невідомі джерела".

Будь-яка вулкан, яка вимагає встановити додаток вручну, має дві основні блокпости: Play Store та вбудовану функцію "Перевірити програми" Android.

Зважаючи на те, що Check Point вперше розкрив уразливості ще в квітні, Google майже напевно сканував додатки Play Store на ці подвиги досить довгий час. Це означає, що ви будете добре, якщо, як і більшість людей, ви завантажуєте програми лише з Play Store.

Навіть якщо ви цього не зробите, функція Android "Перевірити додатки" призначена для роботи в якості додаткового рівня захисту, скануючи програми із сторонніх джерел на наявність відомих зловмисних програм перед встановленням. Ця функція включена за замовчуванням у всіх версіях Android, починаючи з 2012 року 4.2 Jelly Bean, і оскільки вона є частиною Служб Google Play, вона завжди оновлюється. За останніми доступними статистичними даними, понад 90 відсотків активних пристроїв Android працює з версією 4.2 або пізнішої версії.

У нас немає чіткого підтвердження від Google про те, що "Verify Apps" перевіряє QuadRooter, але, враховуючи, що Google про це повідомляли місяці тому, швидше за все, це так. І якщо це так, Android визначить будь-який додаток QuadRooter як шкідливий і покаже великий страшний екран попередження, перш ніж ви зможете дістатись десь поблизу його встановлення.

Оновлення: Google підтвердив, що програма Verify Apps може виявляти та блокувати QuadRooter.

У такому випадку ви все ще "вразливі?" Добре технічно. Можна, можливо, перейти до налаштувань безпеки, увімкнути Невідомі джерела, а потім проігнорувати повне екранне попередження про те, що ви збираєтесь встановити зловмисне програмне забезпечення та відключити ще одне налаштування безпеки в іншому місці. Але в той момент, значною мірою, це на вас.

4. Безпека Android є важка, навіть із щомісячними виправленнями

Один із цікавих аспектів саги QuadRooter - це те, що вона показує нам про проблеми безпеки Android, які залишаються, навіть у світі щомісячних патчів безпеки. Три з чотирьох вразливості виправлені в останніх виправленнях серпня 2016 року, але одна, очевидно, прослизнула через щілини і не буде виправлена ​​до вересня. Це є підставою для законного занепокоєння, враховуючи, що розголошення трапилося ще у квітні.

Однак представник Qualcomm повідомив ZDNet, що виробник мікросхем випускав власні патчі виробникам у період з квітня по липень, тому можливо, деякі моделі були оновлені поза механізмом виправлення Google. Це лише підкреслює плутанину, пов’язану із наявністю явного рівня патчу від Google, тоді як виробники пристроїв та виробники компонентів також надають виправлення безпеки.

Більшість виробників телефонів Android засмоктує випуск патчів безпеки. І навіть сучасні пристрої не будуть повністю зафіксовані ще один місяць.

Наразі єдиний спосіб дізнатися, чи є ваш телефон теоретично вразливим, це завантажити додаток для сканування QuadRoot Check Point із Play Store.

Навіть коли випущено патчі, вони повинні пройти виробників пристроїв та операторів, перш ніж їх висувати на телефони. І хоча деякі компанії, такі як Samsung, BlackBerry та (природно) Google, поспішають забезпечити наявність найновіших патчів, більшість людей, які роблять Android-пристрої, ніде не настільки своєчасні, особливо якщо мова йде про старіші телефони чи менші ціни.

QuadRooter підкреслює, що повсюдність Android-пристроїв на основі Qualcomm робить їх привабливою ціллю, тоді як різноманітність апаратних засобів в цілому робить оновлення всіх майже неможливим.

5. Ми тут були раніше

• Захоплююча назва маркетингу? Перевірка.
• Велика страшна кількість "вразливих" пристроїв? Перевірка.
• Безкоштовна програма виявлення, яку захищає компанія з продуктом для продажу? Перевірка.
• Немає доказів використання в дикій природі? Перевірка.
• Натисніть, ігноруючи Play Store і підтвердьте програми, як блокування дорожнього руху проти подвигів на основі додатків? Перевірка.

Це той самий танець, який ми виконуємо щороку в час конференції з безпеки. У 2014 році це був підроблений ідентифікатор. У 2015 році це був Stagefright. На жаль, розуміння проблем безпеки Android у ЗМІ взагалі залишається жахливим, а це означає, що цифри на кшталт "900 мільйонів" впливають на ехо-камеру без контексту.

Якщо ви дотепно ставитесь до встановлених додатків, то не так багато причин хвилюватися. І навіть якщо ви цього не зробите, шанси на те, що Служби Play і перевірка додатків матимуть спину.

БІЛЬШЕ: Зловмисне програмне забезпечення Android - чи варто хвилюватися?