Odkryto poważną lukę bezpieczeństwa w Androidzie 4.3, KitKat jest zabezpieczony

Android jako mobilny system operacyjny nie ma lekkiego życia… przynajmniej pod względem kwestii bezpieczeństwa. Dopiero co informowaliśmy o luce w jądrze Linuksa, która pozwala zdobyć uprawnienia typu root, a tu na światło dzienne wyszła kolejna istotna podatność. Tym razem chodzi bezpośrednio o mechanizmy samego systemu. Na całe szczęście, wbrew pierwotnym informacjom jakie obiegły świat i liczne portale informacyjne, na atak narażonych jest „tylko” nieco ponad 10% użytkowników Androida. Luka występuje bowiem jedynie w wersji 4.3 Jelly Bean.

Lukę w systemie operacyjnym od Google opisali naukowcy z IBM Security. Podatność nosi oznaczenie CVE-2014-3100 i skutecznie wykorzystana ma wpływ na wszystkie ważne usługi Android KeyStore. Sprawa jest poważna, ponieważ właśnie ten mechanizm jest wykorzystywany do przechowywania wszystkich kluczy kryptograficznych oraz poświadczeń użytkownika. Składają się na nie np. PINy, klucze szyfrujące, certyfikaty używane do połączeń VPN i kształty kodów pozwalających na odblokowywanie ekranu. Użycie luki powoduje, że atakujący może uzyskać dostęp do tych danych, a nawet zupełnie zablokować urządzenie. Najprawdopodobniej znacznie bardziej kuszącą opcją jest jednak kradzież poświadczeń, danych logowania użytkownika, która otwiera drogę do przejmowania kolejnych kont i danych.

Sytuacja nie jest dramatyczna tylko dlatego, że Android jest wyposażony w dodatkowe mechanizmy ochronne. Przed przepełnieniem stosu może uratować zarówno DEP (Data Execution Prevention) jak i losowy rozkład przestrzeni adresowej czyli ASLR. Sam atakujący również nie może zrobić niczego zdalnie i bez udziału samego użytkownika. Konieczne jest bowiem zainstalowanie spreparowanej aplikacji spoza oficjalnego sklepu Google. W efekcie najpierw musi on namówić użytkownika, aby ten zainstalował złośliwą aplikację i tym samym pozwolił jej na wykonanie niebezpiecznego kodu. Naukowcy z IBM odkryli możliwość przepełnienia bufora stosu przechowywania kluczy już dziewięć miesięcy temu. Sprawa nie wychodziła na światło dzienne, ponieważ błąd jest zbyt poważny. Informacje zostały za to przekazane do działu, który zajmuje się bezpieczeństwem Androida, aby przygotować dla niego stosowne poprawki.

Tak też się stało. Poprawki otrzymali użytkownicy Androida 4.4 KitKat… i tylko jego. Osoby używające Androida w wersji 4.3 bez gotowej aktualizacji nie mają natomiast co liczyć na pomoc ze strony Google. To właśnie ta wersja jest podatna na atak i zgodnie z ostatnimi statystykami producenta, narażonych na niebezpieczeństwo jest 10,3% użytkowników Androida. W tej sytuacji trudno nie poruszać kwestii fragmentacji samego systemu. O dostarczanie nowej wersji Google dba tylko dla serii Nexus, ale nawet w ich wypadku wsparcie jest ograniczone do tylko 18 miesięcy - taki Galaxy Nexus wyposażony w oficjalne oprogramowanie również jest podatny. U innych producentów sprawa wygląda jeszcze gorzej, bo większość sprzętu z niskiej i średniej półki nie może liczyć na jakiekolwiek aktualizacje – sprzęt trafia na półki sklepowe i w tym momencie zainteresowanie firmy jest w zasadzie żadne.

Nowe wersje systemu i poprawki otrzymują posiadaczce urządzeń z wyższej półki cenowej, ale nawet zakup takiego urządzenia nie gwarantuje, że w sytuacji takiej jak ta producent zadba o nasze bezpieczeństwo. Łatwo tu zauważyć przewagę platform iOS oraz Windows Phone. Oczywiście nie są one tak popularne jak Android, co samo z siebie zmniejsza zainteresowanie atakujących, niemniej aktualizacje niezależne od producentów są znaczną zaletą. Użytkownicy Windows Phone 8, niezależnie od posiadanego modelu, mogą liczyć na aktualizacje od Microsoftu. Przynajmniej do pewnego czasu, o czym już kiedyś przekonały się osoby, jakie kupiły smartfon z Windows Phone 7.