44-st plaastrist hinnati 11 kriitiliseks ja ülejäänud raskusastmeks.
2 minutit loetud
Foto: taasesitus
Nii populaarse operatsioonisüsteemi kui Android jaoks on turvalisus valdkond, milles Google ei saa endale kompromisse lubada. Selle eest Juuli uuendus , On Google välja andnud Androidi 44 haavatavuse plaastrid. Enamik neist vigadest on oma olemuselt väga tõsised või kriitilised.
Need plaastrid on koheselt saadaval Google'i enda Pixeli ja Nexuse seadmetele. Teiste ettevõtete telefonid peavad ootama, kuni nende tootjad ajavad plaastritega värskendusi. Selle protsessi hõlbustamiseks teavitas Google turvariskidest kõiki Androidi partnereid kuu aega enne juulikuu värskenduse avaldamist.
Tõsised haavatavused
Juulikuu värskenduse jaoks tuvastas ja parandas Google OS-i ja meediaraamistikus vead, sealhulgas süsteemiga ja tuumaga seotud probleemid.
Vastavalt bülletään avaldas Google, „Selle jaotise kõige raskem [raamistiku] haavatavus (CVE-2018-9433) võib võimaldada kaugründajal spetsiaalselt koostatud PAC-faili abil suvalise koodi privilegeeritud protsessi kontekstis käivitada.”
Zcaler kirjeldab PAC-faili tekstifailina, mis palub brauseril suunata liiklus puhverserverisse, mitte otse sihtserverisse.
Qualcomm, telekommunikatsiooniseadmete ettevõte, mis valmistab tohutu hulga Android-seadmete protsessoreid, oli enam kui 20 tuvastatud ja parandatud viga seotud komponentidega. Kõige tõsisem Qualcommiga seotud viga oli selline, mis võimaldas kaugründajal (jällegi) privileegprotsessi kontekstis suvalist koodi käivitada.
On märkimisväärne, et Google väidab, et ühtegi neist kriitilistest turbeprobleemidest ei olnud veel ära kasutatud ega kuritarvitatud, kuna sellise ekspluateerimise kohta pole klientide teateid.
Värskendusprotsess
Google Pixeli ja Nexuse kasutajad saavad turvapaigade automaatseks allalaadimiseks oma nutitelefonist värskendusi otsida. Google'il on ka laadis plaastri veebis üles , nii et kasutajad saavad värskenduse käsitsi oma telefoni alla laadida.
Nagu teiste tootjate puhul, Samsung ja LG on juba hakanud oma telefonidele turvapaiku välja andma. Peagi vabastab Google lähtekoodi plaastrid Androidi avatud lähtekoodiga hoidlas (AOSP). See võimaldab teistel tootjatel oma Androidi nutitelefonides kriitilised turvapaigad sujuvamalt rakendada.
Kindlasti on parim, et Google hoiab häkkerite ees turvalisuse probleemide lahendamisel, mida pole veel kasutatud. Android kui platvorm ei saa kindlasti lubada, et väärkasutamise ja ekspluateerimise võimalused jäävad avatuks.
