211service.com
Webbläsarexploatering för Android framhäver Googles uppdateringsproblem
En säkerhetsforskare har upptäckt ett sätt att ta över ungefär 70 procent av Android-enheterna via en webbsida eller app. Det är inte känt om någon faktiskt använder utnyttjandet för att attackera människors telefoner, men forskarens resultat är ändå en påminnelse om att Google står inför en växande huvudvärk eftersom det saknar något sätt att effektivt distribuera säkerhetsuppdateringar till de hundratals miljoner enheter som kör dess mjukvara över hela världen. Många av dessa enheter har föråldrade versioner av Android.
Den nya exploateringen utvecklades av Joe Vennix, en mjukvaruingenjör på säkerhetsföretaget Snabb7 , som förra veckan lade till utnyttjandet till företagets Metasploit programvara som används för att testa enheter och system för kända sårbarheter. Hans kod använder sig av en bugg som först avslöjades i december 2012 , i webbläsaren som är inbyggd i Android. Exploateringen kan användas för att ta över en telefon efter att ha hänvisat någon till en webbsida med den skadliga koden inbäddad, eller genom att leverera koden via en app, varav många visar innehåll som annonser med Androids webbläsarfunktioner. Vennix hittade det en Baidu-app , till exempel, var sårbart för utnyttjandet när det installerades på en enhet med den version av Android som släpptes i december 2013. En annan forskare fann att utnyttjandet fungerar på Google Glass .
Vennix uppskattar att 70 procent av Android-enheterna är sårbara för utnyttjandet, baserat på Googles siffror för andelen enheter som kör olika versioner av Android. Och avgörande, även om Google släppte en ny version av Android med en fix för den underliggande buggen i november 2012, kommer de flesta enheter som kör programvaran sannolikt att förbli sårbara för attacken så länge de fortfarande används eftersom de inte kommer att uppdateras.
Google har övertygat många tillverkare att installera Android på sina produkter, men få är snabba på att rulla ut nya versioner av programvaran. Google har inte heller någon mekanism för att skicka uppdateringar direkt till enheter, till exempel de som är inbyggda i skrivbordsoperativsystem inklusive Microsoft Windows eller Mac OS.
Det begränsar Googles möjlighet att lägga ut nya funktioner och säkerhetskorrigeringar till enheter som kör dess programvara. Företaget har hittills haft liten framgång med att ta itu med problemet. I maj 2011, till exempel, tillkännagav Google Android Upgrade Alliance, enligt vilken trådlösa operatörer snabbt skulle lansera Android-uppdateringar under de första 18 månaderna av en enhets liv. Men projektet grundades och är inte längre aktivt. Google svarade inte på en begäran om kommentar.
På senare tid har Google försökt kringgå operatörer genom att flytta över vissa funktioner i Android till separata appar, som kan uppdateras av användare via företagets appbutik Play. YouTube, Gmail och Google Search, till exempel, var tidigare inbyggda i Android-programvaran men är nu separata appar; Google kan skicka funktionsuppdateringar och säkerhetskorrigeringar till dessa appar utan att behöva arbeta med något annat företag. I de senaste versionerna av Android är den inbyggda webbläsarkoden gömd för användare som istället använder en mobilappversion av Googles Chrome-skrivbordswebbläsare.
Det tillvägagångssättet täcker dock inte kärnan i Android-programvaran, och det kan inte fixa buggen som upptäcktes av Rapid7. Dirk Sigurdson, ingenjörschef för Rapid7s produkt för att skydda mobila enheter, Mobilesafe, säger att enheter köpta från andra företag än Google inte kan anses vara säkra. Det bästa alternativet för tillfället är att köpa enheter med Google Nexus eller Google Play, som uppdateras mycket snabbare med de senaste Android-versionerna, säger han.
Över en miljard Android-enheter har aktiverats sedan programvaran lanserades i oktober 2008, enligt Google . Android-enheter plågas knappast av skadlig kod i den utsträckning som datorer är, och användningen av appbutiker hjälper till att begränsa spridningen av skadlig kod. Trots detta växer förekomsten av skadlig programvara och förväntas bli betydligt värre (se Attacker mot Android intensifiera och nya affärsmodeller för skadlig programvara för att få PC-säkerhetsproblem till mobilen).
Efter att Microsofts Windows-operativsystem föll offer för en lång rad skadlig programvara, etablerade företaget ett system där säkerhetsuppdateringar kontinuerligt utvecklades och rullades ut till datorer. Apple använder en liknande modell för att hålla sina mobila enheter uppdaterade. I september, till exempel, bara en vecka efter att en bugg upptäcktes som gjorde det möjligt för någon kringgå en iPhones låsskärm , företaget rullade ut en fix .
Det tillvägagångssättet kan också hjälpa Android, säger säkerhetskonsulten Graham Cluley, men det är osannolikt att det är attraktivt för Google på grund av hur det ger bort Android gratis och låter enhetstillverkare och mobiloperatörer modifiera programvaran. Det grundläggande problemet, jag misstänker, är att de inte kontrollerar hårdvaran och mjukvaran, säger han. Även om alla dessa enheter kör Android, kör de olika tweakade versioner med olika användargränssnitt och tillägg.
En anledning till att företag inte skickar Googles uppdateringar till Android idag är att det krävs arbete för att säkerställa att dessa justeringar fortfarande fungerar korrekt på en ny version. Automatiska uppdateringar kan bryta ett företags egna Android-modifieringar, säger Cluley.