Оглавление:
- 1. Это вещь Qualcomm
- 2. Это серьезно, но нет никаких доказательств его использования в дикой природе
- 3. Скорее всего, вы на самом деле не "уязвимы"
- 4. Безопасность Android сложна, даже с ежемесячными патчами
- 5. Мы были здесь раньше
Еще раз, это сезон напуга безопасности Android. Сегодня утром появились новости о последней коллекции уязвимостей, обнаруженной охранной фирмой Check Point и сгруппированной под броским прозвищем «QuadRooter». Как обычно, большая часть отчетов была сосредоточена на наихудших сценариях и невероятно огромном количестве потенциально уязвимых устройств - в данном случае, по оценкам, 900 миллионов.
Мы собираемся разобрать, что именно происходит, и насколько уязвимы вы будете. Читать дальше.
1. Это вещь Qualcomm
Check Point специально предназначался для Qualcomm из-за его доминирующего положения в экосистеме Android. Поскольку многие телефоны Android используют аппаратное обеспечение Qualcomm, драйверы, которые Qualcomm предлагает программное обеспечение для этих телефонов, делают его привлекательной целью - единый набор уязвимостей, затрагивающий большую часть пользователей Android. (В частности, ошибки влияют на работу сети, графики и выделение памяти.)
Драйверы Qualcomm - большая привлекательная цель.
Все четыре эксплойта, составляющие QuadRooter, влияют на драйверы Qualcomm, поэтому, если у вас есть телефон, который вообще не использует аппаратное обеспечение Qualcomm - например, Galaxy S6 или Note 5 (который использует собственный процессор Exynos от Samsung и модем Shannon), вы ' не затронуты этим.
2. Это серьезно, но нет никаких доказательств его использования в дикой природе
Как следует из названия, QuadRoot - это набор из четырех эксплойтов в коде Qualcomm, которые могут позволить вредоносному приложению получить привилегии root - то есть получить доступ к чему угодно на вашем телефоне. Оттуда вы можете придумать любое количество кошмарных сценариев: злоумышленники прослушивают телефонные звонки, следят за вашей камерой, крадут финансовые данные или блокируют ваши данные с помощью вымогателей.
Никто еще не говорит об этих подвигах, используемых в дикой природе, и это хорошо. (По оценкам Check Point, плохие парни будут упаковывать его в работающее вредоносное ПО в течение трех или четырех месяцев.) Однако, учитывая проблемы, связанные с обновлением программного обеспечения на более чем миллиард Android-устройствах, у создателей вредоносного ПО будет достаточно времени для анализа из практического применения.
Но…
3. Скорее всего, вы на самом деле не "уязвимы"
QuadRooter - это одна из многих проблем безопасности Android, которая требует ручной установки приложения. Это означает, что нужно вручную зайти в настройки безопасности и установить флажок «Неизвестные источники».
Любая уязвимость, требующая ручной установки приложения, наталкивается на два основных препятствия: Play Store и встроенную в Android функцию «Проверка приложений».
Учитывая, что Check Point впервые обнаружил уязвимости еще в апреле, Google почти наверняка уже довольно давно сканирует приложения Play Store на предмет этих эксплойтов. Это означает, что вы будете в порядке, если, как и большинство людей, вы загружаете только приложения из Play Store.
И даже если вы этого не сделаете, функция Android «Проверка приложений» предназначена для того, чтобы выступать в качестве дополнительного уровня защиты, сканируя приложения из сторонних источников на наличие известных вредоносных программ перед установкой. Эта функция включена по умолчанию во всех версиях Android начиная с версии 4.2 Jelly Bean 2012 года, и, поскольку она является частью Google Play Services, она постоянно обновляется. По последним статистическим данным, более 90 процентов активных устройств Android работают под управлением версии 4.2 или более поздней.
У нас нет явного подтверждения от Google о том, что «Verify Apps» сканирует QuadRooter, но, учитывая, что Google был проинформирован несколько месяцев назад, есть вероятность, что это так. И если это так, Android определит любое приложение QuadRooter как вредоносное и покажет большой экран предупреждения, прежде чем вы сможете приблизиться к его установке.
Обновление: Google подтвердил, что Verify Apps может обнаруживать и блокировать QuadRooter.
В таком случае, вы все еще "уязвимы"? Ну технически. Можно было бы перейти к настройкам безопасности, включить неизвестные источники, а затем игнорировать полноэкранное предупреждение о том, что вы собираетесь установить вредоносное ПО, и отключить еще один параметр безопасности в другом месте. Но в этот момент, в значительной степени, это на вас.
4. Безопасность Android сложна, даже с ежемесячными патчами
Один интересный аспект саги QuadRooter - это то, что она показывает нам о проблемах безопасности Android, которые все еще остаются, даже в мире ежемесячных обновлений безопасности. Три из четырех уязвимостей были исправлены в последних исправлениях августа 2016 года, но одна из них, по-видимому, проскочила и не будет исправлена до сентябрьского исправления. Это повод для законного беспокойства, учитывая, что раскрытие произошло еще в апреле.
Однако представитель Qualcomm сообщил ZDNet, что производитель микросхем выпускал собственные исправления для производителей в период с апреля по июль, поэтому возможно, что некоторые модели могли быть обновлены вне механизма исправлений Google. Это только подчеркивает путаницу, связанную с явным уровнем исправлений от Google, в то время как производители устройств и производители компонентов также предоставляют исправления безопасности.
Большинство производителей телефонов на базе Android сосут при выпуске патчей безопасности. И даже современные устройства не будут полностью исправлены в течение следующего месяца.
На данный момент единственный способ узнать, является ли ваш телефон теоретически уязвимым, - это загрузить приложение сканера Check Point QuadRoot из Play Store.
Даже после того, как патчи выпущены, они должны пройти через производителей устройств и носителей, прежде чем их отправят на телефоны. И хотя некоторые компании, такие как Samsung, BlackBerry и (естественно) Google, быстро убедились, что доступны последние исправления, большинство людей, делающих устройства Android, еще далеко не столь своевременны, особенно когда речь идет о старых или недорогих телефонах.
QuadRooter подчеркивает, что повсеместное распространение Android-устройств на базе Qualcomm делает их привлекательной целью, а разнообразие оборудования в целом делает обновление всех из них практически невозможным.
5. Мы были здесь раньше
- Броское маркетинговое имя? Проверьте.
- Большое страшное количество «уязвимых» устройств? Проверьте.
- Бесплатное приложение для обнаружения, продаваемое охранной компанией с продуктом для продажи? Проверьте.
- Нет доказательств использования в дикой природе? Проверьте.
- Нажмите в целом, игнорируя Play Store, и убедитесь, что приложения являются препятствием для эксплоитов на основе приложений? Проверьте.
Это тот же самый танец, который мы делаем каждый год во время конференции по безопасности. В 2014 году это был Fake ID. В 2015 году это был Stagefright. К сожалению, понимание проблем безопасности Android в средствах массовой информации в целом остается плачевным, и это означает, что цифры, подобные «900 миллионам», отражаются в эхо-камере без контекста.
Если вы умны в отношении приложений, которые вы устанавливаете, нет особых причин для беспокойства. И даже если вы этого не сделаете, скорее всего, Play Services и Verify Apps окажут вам поддержку.
Еще: Android Malware - вы должны беспокоиться?
