Jedną z najważniejszych rzeczy dzisiaj, na które zwracają uwagę giganci technologiczni, tacy jak Google czy Apple, to szeroko rozumiane bezpieczeństwo m.in. smartfonów. Część problemów z tym związanych jest diagnozowana we własnych produktach i może być rozwiązana samemu, ale pozostałe problemy zgłaszane są do firm zewnętrznych. Takich przypadków nie brakuje, ale problem pojawia się wtedy, kiedy zgłoszenia te są ignorowane, a właśnie o takim przypadku mówi Google.
Google Project Zero wskazuje problem
Przypomnijmy, że Project Zero to utworzony w 2014 roku zespół badaczy bezpieczeństwa Google, którzy zajmują się wyszukiwaniem luk. Skupiają się oni na tak zwanych lukach zero-day, które – powiedzmy sobie szczerze – są najgorsze, gdyż exploity te potrafią krążyć na czarnym rynku na długo przed publikacją stosownej poprawki przez producenta.
To właśnie zespół Google Project Zero zwrócił teraz uwagę na problem w dostarczaniu łatek bezpieczeństwa. Jest on na tyle duży, że dotyczyć może nawet setek milionów urządzeń z Androidem, które są narażone na potencjalne ataki.
Nie bez przyczyny Google wiele lat temu wprowadziło systematyczne, comiesięczne aktualizacje systemowe, które dostarczane są do producentów. Urządzenia z serii Pixel otrzymują stosowne łatki na czas, ale nie każdy z producentów jest w stanie zachować podobne tempo prac wdrożeniowych, sprawiając, że nie jest zachowany odpowiedni stopień bezpieczeństwa. Gorzej jednak, jeśli producent w ogóle nie zareaguje na zgłoszony problem albo inni nie wdrożą przygotowanych poprawek – to już brzmi jak sabotaż.
Smartfony z Androidem w poważnym niebezpieczeństwie
Konkretnym problemem, o którym wspomina zespół badaczy, jest luka bezpieczeństwa znana jako CVE-2022-33917. Dotyczy ona urządzeń korzystających z procesora graficznego ARM Mali, co oznacza, że liczba zagrożonych sprzętów działających pod kontrolą Androida jest ogromna – problem dotyczy również najnowszych Pixeli czy Samsungów. Niebezpieczeństwo polega na tym, że jeśli luka zostanie wykorzystana, to atakujący może uzyskać „szeroki dostęp” do danych użytkownika. Nie ma zatem wątpliwości, że mówimy o sporym naruszeniu prywatności.
Krótkie „dochodzenie” wykazało, że ARM najwyraźniej naprawiło zgłoszony przed kilkoma miesiącami problem dla swoich procesorów graficznych, ale jednocześnie wiele urządzeń z Androidem od Samsunga, OPPO, Xiaomi czy nawet Google nie wdrożyło odpowiednich poprawek, więc użytkownicy pozostają w niebezpieczeństwie, nie mogąc zainstalować najnowszej aktualizacji zabezpieczeń.
Jakie z tego wnioski?
Badacze co prawda nie wyjaśniają, dlaczego tak się stało, ani nawet nie próbują ograniczyć swych tłumaczeń wyłącznie do Google. Można się wyłącznie domyślać, że twórcy oprogramowania zostali o tym poinformowani i już przy najbliższej możliwej okazji stosowna łatka zostanie dostarczona.
Wnioski są natomiast inne. Tak, jak użytkownikom zaleca się szybkie instalowanie poprawek bezpieczeństwa, tak samo dotyczy to dostawców i firm. To właśnie producenci odpowiadają za to, aby jak najszybciej zminimalizować potencjalne szkody wynikające z luk bezpieczeństwa.
Jeśli firmy nie zachowają czujności, nie będą śledzić źródeł i dokładać wszelkich starań, aby dostarczyć kompletne poprawki, to użytkownicy nie będą mieli szansy bronić się przed zagrożeniami.
Poprosiliśmy o komentarz Samsunga, OPPO i Xiaomi odnośnie braku aktualizacji zabezpieczeń – gdy otrzymamy odpowiedzi, zaktualizujemy niniejszy artykuł.
Aktualizacja [1.12.2022] – komentarz OPPO
Jesteśmy świadomi powagi sytuacji, dlatego jesteśmy w stałym kontakcie z ekspertami Google, z którymi wspólnie pracujemy nad aktualizacją. Gdy będzie dostępna dla użytkowników, będziemy o tym informować.
