Chybu opravili len niektorým telefónom
Aktuálna verzia Androidu 14 obsahovala množstvo bezpečnostných chýb. Väčšina z nich nebola priveľmi závažná, avšak vyskytovala sa aj medzi nimi kritická zero-day slabina. To znamená, že chybu mohli zneužiť hackeri ešte predtým, než ju Google detegoval. V spoločnosti ju nakoniec identifikovali a opravili v aktualizácii Android 14 QPR3, má to však jeden zásadný problém: nie každý si ju dokáže stiahnuť, informuje Android Central.
Aby sme porozumeli závažnosti situácie, musíme najprv pochopiť, čo znamená takzvaná zero-day slabina (nula dní). Bežne sa bezpečnostné chyby označujú počtom dní, koľko o nich firma vedela, než boli zneužité. Pojem zero-day teda hovorí o chybe v systéme, o ktorej vývojári nevedeli v čase, kedy bola zneužitá – čo znamená, že systém sa pred ňou nedokázal brániť.
Portál Bleeping Computer upozornil, že po identifikovaní chyby ju už Google stihol opraviť v novej aktualizácii Androidu a ďalej ju hackeri nemôžu využiť na napadnutie zariadenia. Celkovo opravili 50 bezpečnostných nedostatkov. Má to však jeden podstatný háčik, a to síce že aktualizáciu vydali len pre telefóny Pixel. Žiadne iné Android telefóny ju zatiaľ nedostanú.
Zatiaľ len pre Pixely
„Na ostatných Android zariadeniach to opravia po tom, keď sa aktualizujú na Android 15,“ potvrdili vývojári nadstavby GrapheneOS, ktorí sa špecializujú na bezpečnosť. Ak teda nevlastníte Pixel, na ktorý si opravu stiahnete, váš telefón bude ohrozený až do vydania Androidu 15. To sa očakáva až na jeseň 2024.
„Chybu už zneužili forenzné spoločnosti proti používateľom s aplikáciami ako Wasted a Sentry pri snahe vymazať obsah zariadenia po detegovaní útoku,“ upresnili vývojári.
Slabinu spôsobujú dve konkrétne chyby v Androide. Tou prvou je fakt, že zariadenie nevymaže systémovú pamäť pri zapnutí Fastboot módu, ktorý dokáže zapisovať údaje priamo do flash pamäte zariadenia. Pomocou funkcie sa tak útočník dokáže dostať k staršej systémovej pamäti.
Android Central špecifikuje, že druhá podobná chyba sa týka adminského prístupu zariadenia ku API Android Open Source Project. Ten sa nedokáže vymazať bez reštartovania zariadenia v režime obnovenia (reboot-to-recovery).
Prečo ostatní opravu chyby nedostanú?
Na vine nie je len Google, ale systém, akým funguje Android a jednotlivé softvérové nadstavby rôznych výrobcov elektroniky. Keďže Google vyrába Pixely, mohli celý proces urýchliť a poskytnúť svojim používateľom rýchlejšiu opravu.
Na druhú stranu sa však vďaka situácii vynárajú otázky, či je to tak správne. Nebolo by na mieste upraviť proces softvérových aktualizácií medzi Googlom a výrobcami, ktorí využívajú Android v svojich zariadeniach?
