MOUNTAIN VIEW – Spoločnosť Google varuje pred závažnou bezpečnostnou dierou vo svojom operačnom systéme Android. Smartfóny Pixel by mali byť čoskoro chránené novou aktualizáciou. Kedy ju dostanú ostatné prístroje od Samsungu, Huawei a LG, nie je zatiaľ jasné.
Spoločnosť Google momentálne trápi vážna bezpečnostná medzera v systéme Android. V konečnom dôsledku by mali byť na ihlách aj majitelia smartfónov. Pretože zraniteľnosť prístrojov už bola zneužitá. Dotýka sa to telefónov od spoločností Samsung, Huawei, LG a Xiaomi. Smartfóny Pixel (produkuje ich Google) mali bezpečnostnú záplatu dostať už včera.
Projekt Google Zero sa zaoberá zisťovaním slabých miest v zabezpečení. Pritom sa nevenuje len konkurencii, ale aj vlastnému systému. Bezpečnostná expertka a členka projektu Zero Maddie Stoneová teraz zverejnila chybu (má identifikačné označenie CVE-2019-2215), ktorá sa nachádza v linuxovom jadre. Vďaka nej je možné na diaľku rozšíriť prístupové práva miestnej aplikácie a prevziať kontrolu nad smartfónom a tabletom. Tak môže útočník špehovať aktivity, ktoré sa na ňom odohrávajú.
Chyby využívajú na špionáž
Chyba bola objavená už 27. septembra a mala byť odstránená v novembri. Google ale označil nebezpečenstvo ako vysoké, a preto sa rozhodol chybu zverejniť ešte pred jej odstránením. Za bežných okolností sa dáva výrobcom trojmesačná lehota, aby bezpečnostnú medzeru opravila. To sa však zmenilo, keď sa ukázalo, že izraelská skupina NGO už chybu predala úradom a vládam. “Bezpečnostná služba” je známa tým, že vládam predáva špionážny softvér, medzi inými aj totalitným režimom. Tieto využívajú technológiu na špehovanie politických oponentov alebo kritikov.
Spoločnosť je údajne zodpovedná aj za softvér Pegasus – sledovaciu aplikáciu na iPhony. V auguste 2016 sa zistilo, že útočníci využili tri bezpečnostné diery v iOS na inštaláciu škodlivého softvéru Pegasus. Vďaka tomu sa smartfóny od spoločnosti Apple stali malými špiónmi. Hackeri dokázali zaznamenávať telefonické hovory, čítať textové správy a e-maily, sledovať polohu, prezerať zoznamy kontaktov a heslá služieb ako je Facebook.
S aktuálnou medzerou je možné získať prístup k mobilným zariadeniam. Podľa Googlu sú ohrozené najmä novšie zariadenia. Zraniteľnosť môže byť zneužitá od Androidu 8.x. V niektorých prípadoch je chyba obmedzená iba na systémy Android 9 a 10. Pixel 2 je teda zraniteľný, ale Pixel 3 už nie.
Podľa spoločnosti Google sú dotknuté nasledujúce zariadenia: Huawei P20, Samsung Galaxy S7, S8, S9, všetky zariadenia LG s Androidom 8.x, Xiaomi Redmi 5A, Xiaomi Redmi Note 5, Xiaomi A1, Oppo A3, Motorola Moto Z3. Google však nevie vylúčiť, či nie sú ovplyvnené aj iné prístroje.
Starý problém
Applu sa podarilo veľmi rýchlo dostať problém s Pegasom pod kontrolu. Hneď, ako sa objavil, okamžite bol vyriešený aktualizáciou. Aj Google poskytol riešenie v krátkom čase. Kým však jednotliví výrobcovia poskytnú záplatu, môže to trvať týždne alebo mesiace. Niektorí sa dokonca rozhodli, že nová záplata nebude niektorým zariadeniam k dispozícii.
Keďže ešte nie je známe, kedy budú aktualizácie k dispozícii, mali by užívatelia obmedziť inštalácie aplikácií na čo najnižšiu mieru. Ako zdroj by mali využívať výhradne obchod Google Play. Tu je menšia šanca, že si nainštalujú spolu s aplikáciou aj škodlivý softvér. Ale pozornosť by mali venovať aj samotným aplikáciám. V ideálnom prípade by mali byť ich vývojári známi, dôveryhodní a nevyžadovať viac povolení k prístupom, ako je nevyhnutné. Inak by mali byť užívatelia radšej nedôverčiví.
