Κενό ασφαλείας απειλεί το 99% των κινητών Android

[harris]

Σύμφωνα με Γερμανούς ερευνητές, το 99% των συσκευών Android βρίσκονται σε πιθανό κίνδυνο λόγω μίας ευπάθειας η οποία θα μπορούσε να επιτρέψει σε μη εξουσιοδοτημένους χρήστες να τρυπώσουν στις πληροφορίες που έχουν οι χρήστες της συσκευής στο Ημερολόγιο και στις Επαφές τους στο Google.

H ανακάλυψη των ερευνητών του Πανεπιστημίου του Ulm φέρνει στο φως ένα σοβαρό ζήτημα ασφάλειας, και υπογραμμίζει την δυσκολία που φαίνονται να αντιμετωπίζουν πολλοί κάτοχοι κινητών Android στο να διατηρούν το κινητό τους με τις τελευταίες ενημερώσεις του λογισμικού.

Σύμφωνα με την έκθεση των Bastian Könings, Jens Nickels, και Florian Schaub, με τον τίτλο "Catching AuthTokens in the Wild: The Insecurity of Google's ClientLogin Protocol" («Ψαρεύοντας Μάρκες Πιστοποίησης στον αέρα: Το ανασφάλιστο πρωτόκολλο της Google στην σύνδεση πελατών»), σε Android 2.3.3 και παλιότερες εκδόσεις οι εφαρμογές του Ημερολογίου και των επαφών στέλνουν πληροφορίες χωρίς ασφάλεια, μέσω πρωτοκόλλου HTTP, και παίρνουν μία Μάρκα Πιστοποίησης (authToken) από την Google.

Αυτό σημαίνει ότι υπάρχει η δυνατότητα από επίδοξους εγκληματίες να υποκλέψουν μέσω κυκλοφορίας WiFi την Μάρκα αυτή που μόλις δημιούργησε το κινητό.

Καθώς τα authTokens μπορούν να χρησιμοποιούνται για αρκετές ημέρες για τις συγκεκριμένες λειτουργίες, οι hackers μπορούν να τα εκμεταλλευθούν αποκτώντας πρόσβαση σε πληροφορίες που θα μπορούσαν να είναι ιδιωτικές και ευαίσθητες. Οι ερευνητές βρήκαν επίσης ότι τα authTokens δεν συνδέονται με κάποιο συγκεκριμένο τηλέφωνο, οπότε μπορούν να χρησιμοποιηθούν εύκολα για να κοροϊδέψουν το σύστημα παριστάνοντας άλλες συσκευές.

Τα παραπάνω είναι πραγματικό πρόβλημα αν κάνετε χρήση ξεκλείδωτων ασύρματων δικτύων WiFi, όπως αυτά που υπάρχουν σε καταστήματα και ξενοδοχεία.

Σύμφωνα με τους ερευνητές, η Google έχει διορθώσει το πρόβλημα στην έκδοση Android 2.3.4 αλλά εδώ είναι η δυσκολία: Πόσοι άνθρωποι τρέχουν ακόμα τις παλιότερες εκδόσεις του λειτουργικού συστήματος Android;

Περίπου το 99% των χρηστών Android είναι ευπαθείς στο πρόβλημα, αφού δεν έχουν αναβαθμίσει τις συσκευές τους στην τελευταία έκδοση 2.3.4 (με την κωδική ονομασία "Gingerbread").

Δυστυχώς δεν είναι πάντα δυνατή η αναβάθμιση του λογισμικού της συσκευής, αφού εξαρτάται τόσο από τον κατασκευαστή του κινητού όσο και από τον πάροχο κινητής τηλεφωνίας.

Υπάρχει μια τεράστια γκάμα κινητών Android, και ενώ για την Apple είναι εύκολο να εκδώσει μία αναβάθμιση για όλες τις συσκευές της, τα πράγματα δεν είναι τόσο απλά για τους πελάτες της Google. Αυτό ο κατακερματισμός αναγκαστικά αφήνει τις συσκευές ευαίσθητες σε προβλήματα ασφαλείας.

Ευτυχώς, η Google φαίνεται πως γνωρίζει το πρόβλημα, και λέει ότι θα δουλέψει πιο στενά με τους κατασκευαστές και τους παρόχους κινητής τηλεφωνίας ώστε να σιγουρέψει πως, στο μέλλον, οι πελάτες της θα μπορούν να έχουν την τελευταία έκδοση λογισμικού.

Πηγή: sophos.com

[ipo]

Εδώ και καιρό οι ειδικοί ασφαλείας έχουν εκφράσει ενδοιασμούς για τον κατακερματισμό του Android και την αδυναμία ενημέρωσης συσκευών τις οποίες έχουν αφήνει στο περιθώριο οι κατασκευαστές τους.

Αν θεωρήσουμε ότι είναι πολύ δύσκολη η πλήρης αναβάθμιση κάθε μοντέλου στην τελευταία έκδοση του λειτουργικού συστήματος, τουλάχιστον θα πρέπει να γίνει προσπάθεια να διακριθούν από τη Google τα critical security updates και να μπορούν να εγκατασταθούν και σε παλαιότερες εκδόσεις λειτουργικού συστήματος, όποτε αυτό είναι εφικτό. Δηλαδή να δαπανηθούν εργατοώρες, ώστε να βρίσκονται patches που να μπορούν να περαστούν και σε παλαιότερες εκδόσεις Android κι όχι μόνο μέσω πλήρων αναβαθμίσεων του συστήματος.

[arkara]

Δεν μπορώ να καταλάβω πως γίνεται να υπάχει τεχνικός λόγος για τον οποίο να μήν γίνεται αναβάθμηση σε συσκευές που τρέχουν Linux. Δηλαδή με τις διανομές πως γίνεται? και δεν μπορεί
να γίνει με τις συσκευές? Απλά θέλουν να πουλάνε περισσότερο. Όλα τα άλλα είναι κουραφέξαλα.

[ardi21]

Δεν μπορώ να καταλάβω πως γίνεται να υπάχει τεχνικός λόγος για τον οποίο να μήν γίνεται αναβάθμηση σε συσκευές που τρέχουν Linux. Δηλαδή με τις διανομές πως γίνεται? και δεν μπορεί
να γίνει με τις συσκευές? Απλά θέλουν να πουλάνε περισσότερο. Όλα τα άλλα είναι κουραφέξαλα.

Προφανως...

[ipo]

Δεν μπορώ να καταλάβω πως γίνεται να υπάχει τεχνικός λόγος για τον οποίο να μήν γίνεται αναβάθμηση σε συσκευές που τρέχουν Linux. Δηλαδή με τις διανομές πως γίνεται? και δεν μπορεί να γίνει με τις συσκευές? Απλά θέλουν να πουλάνε περισσότερο. Όλα τα άλλα είναι κουραφέξαλα.

Οι περισσότεροι κατασκευαστές που πουλάνε συσκευές με Android, παίρνουν μία έκδοσή του και προσθέτουν διάφορα κομμάτια κώδικα, για να μεταβάλλουν το interface και τη λειτουργικότητα κατά τον τρόπο που πιστεύουν ότι θα είναι πιο εύχρηστο ή αποδοτικό το τηλέφωνο. Όταν βγαίνει νέα έκδοση Android, απλώς δε διαθέτουν για παλαιότερες συσκευές αντίστοιχους πόρους, ώστε να ξαναρυθμίσουν τη νέα έκδοση για τις συγκεκριμένες συσκευές. Συνήθως για πιο νέες συσκευές ή μεγαλύτερης αξίας διαθέτουν τους πόρους (εργατοώρες προγραμματιστών) και βγάζουν νέα έκδοση.

Ο λόγος λοιπόν δεν είναι τεχνικός (δε νομίζω ότι προφασίστηκε καμία εταιρεία κάτι τέτοιο), αλλά οικονομικός ή marketing (να πουλήσουν νέες συσκευές, όπως είπες).

[ownagE_]

Ναι αλλά κάθε συσκευή έχει το δικό της kernel/drivers/filesystems/bootloader/δομή.
Και οι νέες εκδόσεις του Android θέλουν και νέο kernel.

Δεν είναι τόσο απλά τα πράγματα νομίζω.

Στο θέμα μας, παιδικό κενό ασφαλείας από τη Google.
Τραβηγμένο βέβαια το να εφαρμοστεί στην πράξη, πρέπει να 'ναι πολύ ψυχάκιας ο άλλος..

[Spanos]

Ναι αλλά κάθε συσκευή έχει το δικό της kernel/drivers/filesystems/bootloader/δομή.
Και οι νέες εκδόσεις του Android θέλουν και νέο kernel.

Δεν είναι τόσο απλά τα πράγματα νομίζω.

Στο θέμα μας, παιδικό κενό ασφαλείας από τη Google.
Τραβηγμένο βέβαια το να εφαρμοστεί στην πράξη, πρέπει να 'ναι πολύ ψυχάκιας ο άλλος..

Δεν είναι απαραίτητο η νέα έκδοση λειτουργικού να συνοδεύεται απο νέα έκδοση kernel, η Cyanogenmod7 Nightly (Android 2.3.4) τρέχει 2.6.32 σε DHD και τώρα αναβαθμίζεται σε 2.6.35. Χρησιμοποιεί δηλαδή ακόμα τον kernel που είχαν οι εκδόσεις Froyo σε DHD.

[ownagE_]

Δεν είναι απαραίτητο η νέα έκδοση λειτουργικού να συνοδεύεται απο νέα έκδοση kernel, η Cyanogenmod7 Nightly (Android 2.3.4) τρέχει 2.6.32 σε DHD και τώρα αναβαθμίζεται σε 2.6.35. Χρησιμοποιεί δηλαδή ακόμα τον kernel που είχαν οι εκδόσεις Froyo σε DHD.

Ναι αλλά ο kernel πχ. της CM6 δουλεύει με CM7 2.3.4?
Άλλο αυτοί οι kernels που είναι σχεδόν χειρόγραφοι () από το μηδέν..

[Hetfield]

Παιδικες ασθενειες της Google λογω απειριας.
Θεωρω απαραδεκτο το να μην μπορεις να λαβεις μια ενημερωση ασφαλειας λογω του καταρκεματισμου του Android.

[lewton]

Να αναβαθμίζει τον πηρυνα των κινητών ΟΤΑ η Google!
Αλλωστε τα μενού των κατασκευαστών δεν ειναι παρά εφαρμογές!

[JediMasterMANIAC]

Και ποιος σου εγγυάται ότι το UI και οι λοιπές εφαρμογές θα δουλέουν σωστά όταν μπει ο νέος kernel
Τελευταία φορά που κοίταξα πρέπει να είναι χτισμένα τα πακέτα για την συγκεκιρμένη έκδοση του πυρήνα

[petasis]

Εγώ νομίζω η αδυναμία αναβάθμισης σχετίζεται με τον μονολιθικό πυρήνα που λέγαμε σε άλλο νήμα...

[nnn]

Να αναβαθμίζει τον πηρυνα των κινητών ΟΤΑ η Google!
Αλλωστε τα μενού των κατασκευαστών δεν ειναι παρά εφαρμογές!

δυστυχώς κάνουν ματσακονιές στους πυρήνες, χρησιμοποιούν proprietary drivers και κλειδώνουν τον bootloader οπότε bye bye αναβάθμιση

[senkradvii]

O κατακερματισμός των εκδόσεων και η μη δυνατότητα κοινής αναβάθμισής τους τελικά έβγαλαν το πρόβλημα. Κάτι θα ξέρανε στην Google και δήλωναν πριν λίγες μέρες πως θα προσπαθήσουν να τα ενοποιήσουν..

[oxyd]

Προτείνω να πάρουν iPhone όσοι έχουν Android για να έχουν το κεφάλι τους ήσυχο για κενά ασφαλείας, ιούς κλπ.