Telefon sprzed 2018 – rajem włamywaczy

Usterka została usunięta w aktualizacji z grudnia 2017 w jądrze systemu 4.14 LTS (to jest z długi czasem na rozwój), jądrem Android 3.18, 4.4 i 4.9 (w ramach Android Open Source Project). To ostatnie oprogramowanie stanowi bazę dla wielu firm, w tym Google, do opracowania autorskich rozwiązań. Zakładają one posiadanie wbudowanych aplikacji, a także rozwiązań producenta (tak zwane unstock versions).

Badacz z Google Project Zero Maddie Stone problem dotyczy między innymi telefonów Google Pixel 2 z Androidem 9 i 10 w wersji wstępnej. Na celowniku włamywaczy znalazły się między innymi Huawei P20, Xiaomi Redmi A1, Xiaomi Redmi 5, Xiaomi Redmi 5A, a także Samsung S7, Samsung S8, Samsung S9, Oppo A3, Moto Z3 i telefony LG z Androidem Oreo. Stone wskazała konkretne modele telefonów, lecz zauważyła problem dotyczy również urządzeń przed schyłkiem 2018 roku.

Błąd oprogramowania w jądrze systemowych, a dokładniej w Android Binder, pozwala na instalowanie aplikacji bez zgody. Tym samym telefon w tle dogrywa niechciane programy i umożliwia robienie rzeczy bez naszych zgody, bo zyskuje przywileje głównego użytkownika o najwyższym stopniu uprawnień - root. Za tym idzie unikanie zaprojektowanej przez twórców Androida piaskownicy (sandbox). Dzięki niej ogranicza się skutek działania programów, bo ich działania są blokowane i limitowane.

Twórcy projektu Android udostępnili aktualizacje. Tym samym twórcy sprzętu mają teraz otwartą drogę do usunięcia podatności. Google zapowiedziało, że błąd naprawi w ciągu miesiąca w telefonach Pixel 1 i Pixel 2. Tym samym ich użytkownicy prawdopodobnie do listopada 2019, jeśli tylko dokonają aktualizacji, będą pozbawieni tego problemu.

Na tym jednak kłopoty się nie kończą. Wedle ustaleń grupy analityków bezpieczeństwa z Google Threat Analysis Group firma NSO Group sprzedała informacja o błędzie innym firmom. Tym samy w branży szpiegowskiej informacja o zagrożeniach już jest wykorzystana. NSO Group jest firmą z Izraela powiązaną z policją oraz służbami wywiadowczymi. Jak doniosło związana z Uniwersytetem Toronto Citizen Lab razem z Lookout w 2016 ta sama firma nie miała oporów przed wykorzystaniem błędu w oprogramowaniu do stworzenia Pegasusa. Dzięki niemu byli szpiegowani działanie praw człowieka w Zjednoczonych Emiratach Arabskich, tym razem na telefonach z iOS za pomocą błędów w WhatsApp.

Firma NSO Group oficjalnie ogłosiła: “nie sprzedajemy i nigdy nie dostarczaliśmy exploitów [dziur w oprogramowaniu] ani podatności”. Przyznali się tylko, że “nasze produkty są przeznaczone do pomocy licencjonowanym agencjom wywiadu i policji ratować życie ludzkie”. Google Project Zero nie ma jednak próbek exploit, czyli gotowego do użycia programu wykorzystującego błąd w oprogramowaniu dla uzyskania uprawnień administratora (root). Tym samym nie ma możliwości ustalenia od kiedy było dostępne aplikacje wykorzystujące ten sposobów włamania. Brakuje również też informacji o w jaki sposób był dostarczany.

Zgodnie z przyjętą klauzulą przez siedem dni w tajemnicy pozostała informacja o samym zagrożeniu. Ze względu na informacje, że błąd już jest wykorzystywany stała się ona szeroko dostępna publicznie, wcześniej. Od strony oprogramowania wadliwy plik źródłowy binder.c ma cztery i pół tysiąca linijek kodu. Ilustruje to stopień skomplikowania dzisiejszego oprogramowania na komórkach i wyjaśnia czemu są w nim błędy. Dbanie o aktualne wersje aplikacji i systemu operacyjnego staje się dziś obowiązkiem. Inaczej użytkownik telefonu jest wystawiony na szereg zagrożeń. Używanie oprogramowania antywirusowego umożliwia blokowanie części z nich, ale nie usunie wszystkich. Z tego właśnie powodu eksperci zajmujący się bezpieczeństwem odradzają używania smartphones w środowiskach pełnych poufnych informacji oraz danych.

Jacek Skrzypacz