Všechny čtyři chyby odhalil bezpečnostní analytik Adam Donenfeld z Check Point Software Technologies; nález oznámil v neděli na hackerské konferenci DEF CON v Las Vegas. Qualcommu byly oznámeny již během února a dubna, výrobce na to zareagoval patřičnými opravami, poté, co zranitelnosti shledal vysoce rizikovými.
Bohužel to neznamená, že jsou všechna zařízení chráněna. Z důvodu velké roztříštěnosti ekosystému Androidu běží mnoho mobilů a tabletů na starších verzích operačního systému a již nedostávají aktualizace firmwaru, nebo je získávají až s několikaměsíčním zpožděním. Takovým zařízením pak nebezpečí stále hrozí.
Dokonce ani Google, který vydává bezpečnostní záplaty pro svou Nexus řadu chytrých telefonů a tabletů každý měsíc, ještě neopravil všechny chyby.
Zranitelnostem se jako celku říká QuadRooter, protože při zneužití dávají útočníkovi root pravomoce – tedy nejvyšší možné pravomoce na Linuxu založených systémech, mezi které Android patří. Individuálně se zranitelnosti označují jako CVE-2016-2059, CVE-2016-2503, CVE-2016-2504 a CVE-2016-5340. Nachází se v různých ovladačích, jež Qualcomm dodává výrobcům zařízení.
Během dubna a července Qualcomm vydal aktualizace, které tyto chyby opravují, tvrdí v e-mailu Alex Gantman, viceprezident strojírenské sekce Qualcomm Product Security Initiative.
Google zatím pro svá Nexus zařízení opravil jen tři ze čtyř chyb; vlastní opravy předem sdílí s výrobci a také je publikuje na Android Open Source Project (AOSP), dostanou se k nim tedy téměř všichni.
Zařízení běžící na Androidu 6.0 a více (Marshmallow buildy) s aktualizacemi z 5. května by již měli být chráněny proti všem zranitelnostem s výjimkou CVE-2016-5340. Androidy s oblíbenou verzí 4.4.4 (KitKat) či 5.0.2 a 5.1.1 (Lollipop) s aktualizacemi z 5. května jsou prozatím chráněny jen před dvěmi objevenými chybami, a to CVE-2016-2503 a CVE-2016-2504. V jejich případě je CVE-2016-2059 zneužitelný, Google jej však označil jen jako mírně nebezpečný, vzhledem k existující ochraně systému.
Čtvrtá zranitelnost, CVE-2016-5340, zůstává Googlem neopravena úplně. Výrobci by však mohli získat záplatu přímo od Qualcommu, skrze jeho open-source projekt Code Aurora.
„Této chybě se budeme věnovat v našem nadcházejícím bezpečnostním bulletinu. Partneři Androidu však mohou reagovat rychleji a využít možností veřejné opravy, jíž Qualcomm poskytl,“ popsal mluvčí Googlu skrze e-mail. Zneužití kterékoli z těchto čtyř zranitelností by uživatele vystavilo stažení infikovaných aplikací, řekl dále k věci Google.
„Naše Verify App a SafetyNet ochrany pomáhají identifikovat, zablokovat a odstranit aplikace, které takovéto zranitelnosti zneužívají,“ dodal mluvčí.
Je pravda, že ohrozit přístroje těmito chybami je možné jen skrze závadné aplikace. Přímé způsoby útoku jako prohlížení webu, přiložené soubory v e-mailu nebo SMS v tomto případě nelze aplikovat. Aplikace však dle tvrzení Check Pointu nepotřebují žádná zvýšená oprávnění, což jejich nebezpečí výrazně zvyšuje.
Výzkumníci Check Pointu a Google se mezitím neshodli na nebezpečnosti zranitelnosti CVE-2016-2059. Zatímco Qualcomm ji společně se zbytkem chyb označil jako vysoce rizikovou, Google ji posuzuje jen jako mírně nebezpečnou, neboť podle vyjádření firmy lze rizika zmírnit pomocí nástavby SELinux.
SELinux je rozšíření jádra, které činí zneužití některých chyb výrazně složitější pomocí vynucování přístupu. Mechanismus byl využíván k vynucení sandboxových hranic aplikacím již od verze 4.3 (Jelly Bean).
Check Point ovšem s postojem Googlu nesouhlasí. Během Donenfeldova projevu na DEF CONu ukázal, jak CVE-2016-2059 dokáže „přecvaknout“ SELinux z vynucovacího do liberálního módu, čímž efektivně vyřadí jeho ochranu.
Je těžké identifikovat, která konkrétní zařízení jsou zranitelná, neboť někteří výrobci mohou s aktualizacemi čekat na Google, zatímco jiní již mohli opravu převzít přímo od Qualcommu. Aby si uživatelé sami mohli svůj přístroj otestovat, vydal Check Point aplikaci zdarma zvanou QuadRoot Scanner, dostupnou z obchodu Google Play. Ta uživatelům umožní svá zařízení na tyto čtyři zneužití otestovat.
PŘEDPLATNÉ
ČLÁNKY DO MAILU