NOVE NEVOLJE

Daljinski je moguće provaliti u milijune Android uređaja

11.07.2017 u 08:07

Bionic
Reading

Google je u novostima vezanim uz mobilnu sigurnost za srpanj otkrio kako su milijuni uređaja na platformi Android ranjivi zbog sigurnosnog propusta. Da stvar bude gora, ranjivost omogućuje hardverska komponenta (Broadcomov Wi-Fi čipset), koju je moguće naći i na nekim iPhone modelima

Međutim, kako to na iOS platformi biva - sve je pod kontrolom Applea i stvar je zakrpana. S druge strane, Google je izdao zakrpu i pružio je kroz AOSP. Prije barem mjesec dana iz Googlea su informirali i niz proizvođača Android uređaja kako bi trebali izdati zakrpu koja omogućuje daljinsku provalu u Android uređaje. 

No, proizvođači uređaja redovito 'zaboravljaju' na svoje proizvode unatrag godinu i pol nadalje. Jasno, ima tu i pokoja iznimka, no zabrinutost stručnjaka iz svijeta mobilne sigurnosti je itekako opravdana. Za većinu najgorih sigurnosnih propusta, proizvođači su jednostavno napustili sve starije modele te se teret kao i obično prebacuje preko potrošača. 

Kako je došlo do ovoga?

Ranjivost je nazvana BroadPwn, a tiče se mogućnosti daljinskog izvršavanja koda zbog rupe u Broadcomovoj BCM43xx obitelji Wi-Fi čipseta. Izvršavanje koda se može odviti bez ikakve dozvole ili znanja korisnika. 

BroadPwn ranjivost (pod oznakom CVE-2017-3544) otkrio je stručnjak tvrtke Exodus Inteligence, Nitay Artenstein. Dodao je i kako je problematični Wi-Fi čipset moguće naći i u Appleovim proizvodima. S tim rečenim, zakrpa iz Cupertina za iUređaje stigla je prije nekoliko mjeseci, a stvari je pripremio i Google za vlastite pametne telefone i pružio kod svim proizvođačima

Međutim, tko god da je vlasnik Android uređaja van Googleovog branda Nexus ili Pixel, ostaje na milosti i nemilosti brojnih OEM-a. 

Google je izdao zakrpe za 10 kritičnih ranjivosti, svih redom vezanih za mogućnost daljinskog izvršavanja koda, a u paketu su još i redom 94 i 32 zakrpe za ranjivosti označene kao visoko rizične i srednje rizične. 

Ranjivosti su uvijek tu

Problem s Androidom praktički nikad nije postojao na Googleovoj strani, već na strani onih proizvođača koji se odluče koristiti tu platformu bez pružanja redovitih nadogradnji za starije uređaje. Android Security Bulletin za srpanj tako otkriva još više ranjivosti kritične razine vezanih uz platformu Android. 

Još jednom vrijedi spomenuti kako su Nexus i Pixel uređaji sigurni u cijeloj priči jer su nadogradnje i zakrpe već izdane za te uređaje. Google već mjesecima vrši pritisak na proizvođače 'da se uozbilje' kod ovakvih stvari, no u konačnici kontrola nije u njihovim rukama

Stručnjaci vjeruju da će, ako se hakeri masovno odluče zlouporabiti otkrivene ranjivosti, nastradati milijuni vlasnika Android uređaja.