No 44 plāksteriem 11 tika vērtēti kā kritiski, bet pārējie - ar smaguma pakāpi.
2 minūtes lasīts
Foto: atskaņošana
Tikpat populārai operētājsistēmai kā Android drošība ir joma, kurā Google nevar atļauties kompromisus. Par to Jūlija atjauninājums , Google ir izlaidusi ielāpus 44 Android ievainojamībām. Lielākā daļa šo kļūdu pēc būtības ir ļoti smagas vai kritiskas.
Šie ielāpi ir uzreiz pieejami Google pašu Pixel un Nexus ierīcēm. Tālruņiem no citiem uzņēmumiem būs jāgaida, līdz to ražotāji atjauninājumus atjauninās ar ielāpiem. Lai atvieglotu šo procesu, Google mēnesi pirms jūlija atjauninājuma publicēšanas informēja visus Android partnerus par drošības apdraudējumiem.
Nopietnas ievainojamības
Jūlija atjauninājumam Google identificēja un novērsa kļūdas OS un multivides sistēmā, tostarp ar sistēmu un kodolu saistītas problēmas.
Saskaņā ar biļetens publicēja Google: “Visnopietnākā [Framework] ievainojamība (CVE-2018-9433) šajā sadaļā ļautu attālajam uzbrucējam, izmantojot speciāli izstrādātu PAC failu, izpildīt patvaļīgu kodu privileģēta procesa kontekstā.”
Zcaler apraksta PAC failu kā teksta failu, kas liek pārlūkprogrammai pārsūtīt trafiku uz starpniekserveri, nevis tieši uz galamērķa serveri.
Vairāk nekā 20 kļūdas, kuras tagad ir identificētas un novērstas, bija saistītas ar telekomunikāciju iekārtu kompānijas Qualcomm komponentiem, kas ražo milzīgu Android ierīču daļu procesorus. Visnopietnākā no ar Qualcomm saistītajām kļūdām bija tā, kas attālajam uzbrucējam (atkal) ļāva izpildīt patvaļīgu kodu privileģēta procesa kontekstā.
Jāatzīmē, ka Google apgalvo, ka neviens no šiem kritiskajiem drošības jautājumiem vēl nav ticis izmantots vai ļaunprātīgi izmantots, jo nav klientu ziņojumu par šādu izmantošanu.
Atjaunināšanas process
Google Pixel un Nexus lietotāji var pārbaudīt viedtālruņa atjauninājumus, lai automātiski lejupielādētu drošības ielāpus. Google ir arī ielādēja plāksteri tiešsaistē , lai lietotāji varētu manuāli lejupielādēt atjauninājumu savos tālruņos.
Kas attiecas uz citiem ražotājiem, Samsung un LG jau ir sākuši atbrīvot drošības ielāpus saviem tālruņiem. Drīz Google izlaidīs avota koda ielāpus Android atvērtā pirmkoda repozitorijā (AOSP). Tas ļaus citiem ražotājiem vienmērīgāk ieviest kritiskos drošības ielāpus savos Android viedtālruņos.
Noteikti vislabāk ir tas, ka Google novēro hakerus, novēršot vēl neizmantotus drošības jautājumus. Android kā platforma noteikti nevar atļauties atstāt atvērtas iespējas ļaunprātīgai izmantošanai un izmantošanai.
