Nedávná hackerská výzva Googlu nikoho nezajímala

Je Android na dálku neprolomitelný, anebo zkrátka dvou set tisícová odměna nebyla dostatečnou motivací? Google uzavírá netradiční hackerskou výzvu. Před půl rokem nabídl 200 tisíc amerických dolarů (cca 5 milionů korun) tomu, kdo se dokáže na dálku nabourat do androidového zařízení se znalostí pouze telefonního čísla a emailové adresy uživatele. O odměnu se nikdo nepřihlásil.

Nedávná hackerská výzva Googlu nikoho nezajímala


Ovšem ačkoliv se to může zdát jako dobrá zpráva dosvědčující sílu zabezpečení operačního systému, důvod toho, že výzva nenašla svého pokořitele, bude pravděpodobně jiný. Například, potenciální účastníci namítali, že na daný úkol je odměna 200 tisíc dolarů příliš nízká. Pokud by prý totiž systém někdo tímto způsobem dokázal prolomit, tak by svůj úspěch mohl prodat za daleko vyšší sumu. Což ostatně po skončení soutěže připustil i samotný Google.

Dalším důvodem nízkého zájmu může být podle společnosti složitost daného úkolu a existence obdobných výzev, které jsou však přece jen o něco snazší, respektive nemají tak přísná pravidla. Totiž, dostat se k jádru Androidu a plně se zmocnit daného zařízení, vyžaduje objevení ne jedné, ale mnohem více chyb v systému a schopnost jejich vzájemného provázání. Jedna z chyb by přitom útočníkovi musela umožňovat vzdáleně spustit škodný kód, například v rámci některé z aplikací a ještě k tomu se vyhnout sandboxu aplikace.

Podmínkou výzvy totiž bylo i to, aby útočník dokázal zařízení ovládnout bez jakékoliv interakce jeho majitele – tedy bez toho, aby uživatel například musel kliknout na škodný odkaz, navštívit webovou stránku či otevřít emailovou přílohu. Tato podmínka tedy výrazně omezila množství „vstupních bodů“, jakými se útočníci mohli do zařízení dostat. První díra v řetězci by se totiž musela nacházet ve vestavěných funkcích pro SMS nebo MMS anebo také v tzv. baseband firmwaru sloužícímu k ovládání modemu a zneužitelnému skrz mobilní síť.

Způsob prolomení bezpečnosti Androidu, který splňoval daná kritéria, byl objeven v roce 2015. Na soubor chyb využívající multimediální knihovnu Stagefright tehdy upozornili vývojáři společnosti Zimperium. Zjistili, že k ovládnutí systému prakticky stačí doručení škodlivé MMS. Kauza před dvěma roky odstartovala masivní záplatování Androidu, jehož součástí bylo i vypnutí funkce automatického přijímání MMS.

„Podobné chyby zneužitelné na dálku bez účasti uživatele jsou vzácné a vyžadují spoustu kreativity a důvtipu,“ komentoval aktuální výzvu Googlu Zuk Avraham, šéf Zimperia. „A rozhodně mají vyšší cenu než dvě stě tisíc dolarů.“

Mimochodem, obdobnou soutěž vyhlásila i společnost Zerodium, nabízející za prolomení Androidu na dálku rovněž 200 tisíc dolarů, s tím rozdílem, že neomezuje interakci uživatele. Zerodium objevené chyby dále přeprodává svým klientům, mezi které patří například i zpravodajské agentury.

Nabízí se tedy otázka, proč, pokud by se někomu takovou chybu skutečně podařilo odhalit, by ji dotyčný prodával Googlu, když i méně složité hacky může na černém trhu zpeněžit stejně či ještě lépe.

„Obecně můžeme říct, že tahle soutěž pro nás byla zkušenost a že to, co jsme se díky ní naučili, využijeme v dalších podobných programech,“ uvedla za Google Natalie Silvanovich s tím, že od počestných vývojářů očekává alespoň připomínky a komentáře.

I přes neúspěch soutěže se ale hodí zmínit, že Google je v podobných projektech průkopníkem a mnoho jiných jich přineslo své ovoce v podobě softwarových vylepšení či rozvoje online služeb. A pravděpodobnost, že komerční výrobci dokážou v podobných situacích konkurovat odměnám nabízeným zločineckými organizacemi či zpravodajskými agenturami, je velice nízká. Nakonec, programy zaměřené na odhalování chyb a hackovací soutěže, jsou určené v prvé řadě těm vývojářům, kteří nepostrádají smysl pro zodpovědnost.

Úvodní foto: Fotolia










Komentáře