35

Google łata dziury w Androidzie, ale czy wasze smartfony będą naprawione?

Błędy w oprogramowaniu zdarzają się wszędzie. Czasami takie podatności można wykorzystać do przejęcia kontroli nad danym systemem. Producenci starają się temu zapobiegać i zalecają częste aktualizacje. Niestety sytuacja nie jest taka prosta w przypadku systemu Android, Google właśnie załatał i poinformował o nowej, bardzo poważnej podatności, ale czy i kiedy ją dostaniemy na swoim smartfonie?

QualPwn to poważna podatność w procesorach Qualcomma

Jak dowiadujemy się z najnowszego biuletynu bezpieczeństwa opublikowanego przez zespół Androida, Google poprawił między innymi dwa bardzo poważne błędy, jeden w jądrze systemu, a drugi w oprogramowaniu sterownika WLAN (WiFi) w chipach Qualcomm Snapdragon. Te dwie podatności, które zostały wykryte przez zespół Tencent Blade, mogą pozwolić nawet na zdalne przejęcie kontroli nad atakowanym smartfonem i dostęp do jego zasobów z poziomu uprawnień jądra systemowego. Jedynym pocieszeniem jest, że dostęp owszem można uzyskać zdalnie, ale atakujący musi być w tej samej sieci WiFi i wysłać do naszego smartfona specjalnie spreparowany pakiet sieciowy.

  • CVE-2019-10538 – a buffer overflow that impacts the Qualcomm WLAN component and the Android Kernel. Can be exploited by sending specially-crafted packets to a device’s WLAN interface, which allows the attacker to run code with kernel privileges. (tłum. przepełnienie bufora, które wpływa na kontroler Qualcomm WLAN i jądro Androida. Można go wykorzystać, wysyłając specjalnie spreparowane pakiety do interfejsu WLAN urządzenia, co umożliwia atakującemu uruchomienie kodu z uprawnieniami jądra.)
  • CVE-2019-10540 – a buffer overflow in the Qualcomm WLAN and modem firmware that ships with Qualcomm chips. Can be exploited by sending specially-crafted packets to an Android’s device modem. This allows for code execution on the device. (tłum. przepełnienie bufora w oprogramowaniu modułu Qualcomm WLAN i modemu, które jest dostarczane z układami Qualcomm. Można go wykorzystać, wysyłając specjalnie spreparowane pakiety do modemu urządzenia z Androidem. Pozwala to na wykonanie kodu na urządzeniu.)
QualPwn na Google Pixel

Tencent Blade to zespół bezpieczeństwa należący do chińskiego technologicznego giganta, który potwierdził, że podatność działa na smartfonach Google Pixel 2 i Pixel 3. Problem dotyczy jednak znacznie większej liczby urządzeń, bo podatność jest w układach WLAN Qualcomma. Amerykańska firma potwierdziła właśnie, że zagrożone jest znacznie więcej chipów, na czele z flagowym Snapdragonem 855. Pełna lista jest całkiem okazała, a znalazły się na niej: IPQ8074, MSM8996AU, QCA6174A, QCA6574AU, QCA8081, QCA9377, QCA9379, QCS404, QCS405, QCS605, SD 636, SD 665, SD 675, SD 712, SD 710, SD 670, SD 730, SD 820, SD 835, SD 845, SD 850, SD 855, SD 8CX, SDA660, SDM630, SDM660 i SXR1130.

Tencent postąpił zgodnie z branżowymi standardami i zgłosił problem zarówno do Google jak i Qualcomma, które przygotowały stosowane poprawki. Teraz jednak informacja stała się publiczna, a zespół zaprezentuje działanie tego exploita podczas konferencji Black Hat w tym tygodniu. A jak wszyscy dobrze wiemy, poprawki dla Androida trafiają na nasze smartfony bardzo rzadko…

To chyba największa wada Androida

I w ten sposób dochodzimy do sedna. Pomimo, że Google może mieć czyste sumienie bo przygotowało stosowną poprawkę dla swojego systemu, to tak naprawdę w najbliższym czasie aktualizację dostaną tylko nieliczni posiadacze smartfonów Google Pixel. Reszta z nas zdana jest na łaskę producentów smartfona i o ile z tymi najpopularniejszymi jak Samsung czy OnePlus nie będzie tak źle, o tyle większość posiadaczy starszych urządzeń bądź z średniej półki, będzie musiała pogodzić się z tym, że kiedyś w jakimś hotelu lub na lotnisku ktoś ukradnie im dane z telefonu. Dla nich jedynym zabezpieczeniem jest ograniczenie korzystania z publicznych sieci WiFi. Nie jest to zbyt wygodne rozwiązanie.