Android je deravý ako rešeto. Experti na bezpečnosť odhalili cez 30 bezpečnostných dier
Bezpečnostní analytici v novej štúdii objavili viac ako 30 vážnych bezpečnostných slabín, ktoré sa týkajú každej vrstvy Androidu.
Na našom portáli častokrát píšeme o hackeroch, ktorým sa podarilo nájsť nejakú slabinu v smartfóne alebo počítači a cez zákerný malvér kradnú naše peniaze alebo osobné dáta. Nie sú to ale jediní aktéri, ktorí napádajú naše zariadenia.
Bezpečnostní výskumníci z EPFL sú “hackermi”, ktorí sa pokúšajú napadnúť Android zariadenia ešte predtým, než to dokážu samotní „zlí“ hackeri. Ide o bezpečnostných výskumníkov, ktorí pomáhajú chrániť naše zariadenia tak, že rozmýšľajú ako útočníci.
Každý softvér má totiž nejaké bezpečnostné slabiny. Jeden ich má viac, iný zas menej, no všeobecne platí, že čím je softvér komplikovanejší, tým viac bezpečnostných slabín môže potenciálny útočník odhaliť. Operačné systémy sú jedným z najkomplikovanejších typov softvéru a často sa stáva, že hacker nájde doňho cestu, ktorá vývojárov ani len nenapadla.
Etickí hackeri hľadajú slabiny skôr, než sa to podarí kyberzločincom
Ide o takzvané zero-day slabiny, pretože vývojár má presne nula dní na to, aby slabinu opravil. Kým ale stihne vydať opravnú aktualizáciu, hackeri môžu slabinu voľne zneužívať.
“Slabiny v smart zariadeniach sú Achillovou pätou, ktorá môže zraniť najkritickejšie aspekty mobilných zariadení,” vyjadril sa jeden z bezpečnostných výskumníkov, Mathias Payer.
V rámci svojej činnosti sa nedávno podarilo tímu z EPFL odhaliť až 31 kritických bezpečnostných slabín v operačnom systéme Android. Zároveň výskumníci vyvinuli metódy na to, ako aspoň tie najzávažnejšie opraviť. Odhalené bezpečnostné slabiny dovoľovali potenciálnym útočníkom kradnúť citlivé informácie, napríklad odtlačky prstov, tvár, platobné údaje či iné citlivé informácie uložené na zariadení.
Neprehliadnite
“Hlavným rizikom neobjavených bezpečnostných slabín je to, že hackeri dokážu získať prístup do zariadenia užívateľa a zároveň získajú celoživotný prístup k jeho dátam, ak má obeť útoku rovnaký smartfón. Znamená to, že zariadenie užívateľa už nie je bezpečné,” tvrdí Payer.
Kritické slabiny Android operačného systému
Bezpečnostní výskumníci zvolili pre svoju prácu Android, pretože ide o otvorenejšiu platformu. Vysvetľujú však, že podobné bezpečnostné slabiny s najväčšou pravdepodobnosťou existujú aj v iPhone ekosystéme.
Operačný systém Android spracúva informácie cez tri vrstvy kódu a iPhony pracujú podobným spôsobom. Prvou vrstvou je takzvaný secure monitor. Ide o kód, ktorý procesy využívajú na to, aby prechádzali z takzvaného zabezpečeného sveta. Druhá vrstva kódu rozdeľuje zariadenie na dve časti, na bezpečný svet a normálny svet. V bezpečnom svete sú dáta šifrované a normálny svet je vybudovaný na Linux kerneli. Tretia vrstva kódu je vystavaná na druhej vrstve a obsahuje všetky aplikácie.
Výskumníci odhalili bezpečnostné slabiny vo všetkých troch vrstvách Android OS. Na to použili špeciálny program EL3XIR, ktorý sami vyvinuli. Ide o program, ktorý hádže na operačný systém neočakávané inputy a odhaľuje slabiny a nedostatky. Týmto spôsobom odhalili až 34 slabín v najzákladnejšej a najdôležitejšej vrstve Android zabezpečenia. 17 z nich má označenie kritické.
Počas štúdie bezpečnostní výskumníci odhalili aj zmätočnú komunikáciu Android systému s dôveryhodnými aplikáciami. Táto zmätočná komunikácia vzniká, keď sa zle označí informácia z dôveryhodných aplikácií. Tu sa ukázalo, že ak sa Android OS neaktualizuje poriadne s bezpečnostnými patchmi, hackeri môžu nasilu urobiť to, že sa smartfón prehodí na predchádzajúcu, zraniteľnú verziu operačného systému.
“Android je komplexný ekosystém a veľa spoločností má na ňom založené svoje nadstavby. Rovnako je komplexným procesom aj oprava bezpečnostných slabín. V rámci našej práce sme nasledovali štandardy a všetky bezpečnostné slabiny sme nahlásili zasiahnutým stranám. Následne sme im dali 90 dní, aby zistené slabiny opravili, než sme zistenia publikovali,” vysvetľujú vedci.
Zároveň dodávajú, že zasiahnuté strany skutočne bezpečnostné slabiny opravili. Autori štúdie zároveň radia užívateľom, aby si držali OS a všetky aplikácie aktualizované. Najlepšie je stiahnuť si aktualizáciu hneď, ako aktualizácia vyjde.
Komentáre