QuadRooter - co powinniście wiedzieć o głośnej i groźnej luce na Androida

Internet żyje dziś wizją apokalipsy o nazwie QuadRooter. To zestaw czterech dziur, których wykorzystanie może zagrozić użytkownikom nawet 900 mln smartfonów z Androidem bazujących na chipsetach firmy Qualcomm. Jak realne jest to zagrożenie?

Pierwsze sygnały o zagrożeniu lukami QuadRooter pojawiły się na serwisach technologicznych w poniedziałek rano, będąc wynikiem wczorajszego wpisu na blogu Check Point i prezentacji ich wykorzystania na konferencji DefCon w Las Vegas poświęconej tematyce bezpieczeństwa. Według szacunków Check Point, zagrożonych może być nawet 900 mln urządzeń z Androidem bazujących na chipsetach Qualcomm. To właśnie ta gigantyczna liczba rozpaliła internet do czerwoności.

Co złego może się stać i jak tego uniknąć?

W raporcie Check Point mowa o czterech lukach, z których dla trzech zostały już rozesłane stosowne aktualizacje. Ostatnia z nich zostanie załatana dopiero w kolejnym miesięcznym cyklu aktualizacji Google. Jaki jest najbardziej pesymistyczny scenariusz jej wykorzystania?

QuadRooterQuadRooter play.google.com

Użytkownik daje się namówić na instalację aplikacji w formie pliku z rozszerzeniem APK, który nie będzie wymagać żadnych dodatkowych uprawnień (nie wzbudza przez to żadnych podejrzeń). Cyberprzestępca w wyniku instalacji pliku może uzyskać zdalną kontrolę nad smartfonem.

Warto przypomnieć, że domyślnie Android blokuje instalowanie aplikacji z nieznanych źródeł (czyli spoza sklepu Google Play). Jeśli sami nie zmienimy tego ustawienia, to już jesteśmy dalej od zagrożenia. Oczywiście kolejnym krokiem jest tu znana ze świata motoryzacji zasada ograniczonego zaufania. Nie zgadzajmy się na instalację jakiegokolwiek oprogramowania z nieznanego źródła.

QuadRooterQuadRooter play.google.com

Kto zawinił?

To po stronie Qualcomma, a nie jak można było pierwotnie sądzić Google, leży przyczyna całego problemu. W procesie produkcji do chipsetów instaluje się dodatkowe sterowniki i to właśnie w ich kodzie specjalistom z Check Point udało się wykryć zagrożenie. Oznacza to, że Google nie było w stanie samodzielnie dostarczyć poprawek do kodu Androida, gdyż luki dotyczyły warstwy sprzętowej od zewnętrznego producenta. Poprawki trzeba zatem pozyskać bezpośrednio z Qualcomma.

Przedstawiciele Qualcomma zostali poinformowani o wszystkim już w kwietniu i zaklasyfikowali zagrożenie, jako wysokie. Zgodnie z polityką bezpieczeństwa mają w takiej sytuacji 90 dni na wypuszczenie stosownych poprawek, zanim będzie można podać do publicznej wiedzy informację o wykrytym zagrożeniu. A trzeba wiedzieć, że procedura dystrybucji takiej poprawki nie jest prosta.

Wystarczy spojrzeć na poniższą grafikę z raportu Check Point, w której widać złożoną ścieżkę procedur i weryfikacji jaką muszą przejść wszystkie poprawki.

Skomplikowany proces dystrybucji poprawekSkomplikowany proces dystrybucji poprawek źródło: Check Point

Na każdym etapie (dostawcy podzespołów, producenci smartfonów, dystrybutorzy oraz operatorzy komórkowi) powstaje unikalna wersja Androida uzupełniona o dodatkowe oprogramowanie. To znacznie komplikuje proces weryfikacji oraz dystrybucji poprawek dla końcowego użytkownika. Problem najlepiej znają posiadacze smartfonów z oferty operatorów komórkowych. Aktualizacje Androida docierają do nich zazwyczaj na samym końcu, nawet kilka miesięcy później.

Czy jesteśmy zagrożeni?

Nie ma powodów do nadmiernej paniki, o ile zachowamy podstawowe zasady bezpieczeństwa: mamy zawsze możliwie najbardziej aktualnego Androida ze wszystkimi poprawkami, nie instalujemy żadnych aplikacji nieznanego pochodzenia i nie reagujemy na zaczepki dotyczące takiego działania. Check Point udostępnia bezpłatne narzędzie do diagnozy, czy nasz smartfon jest zagrożony wykorzystaniem luki QuadRooter, ale poza samym faktem powiadomienia nas o tym, nie jest w stanie nic z tym zrobić. Na szczęście poprawka z Google jest już w drodze.

[AKTUALIZACJA: 9 sierpnia 10:30] Otrzymaliśmy oficjalny komentarz z amerykańskiego oddziału Google w sprawie zagrożenia Quadrooterem:

Urządzenia z serii Nexus posiadają już ochronę przed 3 z 4 zgłoszonych problemów. Obecnie pracujemy nad poprawką, która zlikwiduje pozostałą lukę. Aktualizacje zostaną rozesłane na wszystkie urządzenia z początkiem września.

Odnośnie pozostałych urządzeń z Androidem - wszystkie zostaną obligatoryjnie objęte poprawką z 6 września 2016. Dodatkowo aktualizujemy usługi Google Play, Verify Apps oraz Safety Net w celu zapewnienia dodatkowej warstwy ochrony. Wykorzystanie wykrytych luk zależy w głównej mierze od użytkownika, który samodzielnie pobierze i zainstaluje podejrzaną aplikację. Jak do tej pory nie spotkaliśmy się z takimi próbami ataku.

Więcej o:
Komentarze (11)
QuadRooter - co powinniście wiedzieć o głośnej i groźnej luce na Androida
Zaloguj się
  • hens

    Oceniono 1 raz 1

    BlackBerry tego problemu nie doświadcza.
    Ale cóż ogryzek iPhone niby pępek świata i też ma problem z kradzieżą tożsamości i pieniędzy z kont.

  • uploadhelski

    Oceniono 2 razy 0

    @amica.veritas
    odpowiadam w głównym wątku, bo takiego hejtu przeciwko androidowi dawno nie widziałem.
    Faktycznie, miałeś ciężkie przeżycia, doświadczyłeś wiele zła od firmy Google i operatora Play, mam nadzieję, że te przygody tylko Cię wzmocnią. Rada na przyszłość - mniej fantazji, no i nie odwiedzaj stron które wydają Ci się atrakcyjne, ale mogą się okazać niebezpieczne. Pozdrawiam
    P.S. Z Twoim ajfonem wszystko OK?

  • amica.veritas

    Oceniono 10 razy -2

    Ja 3 tygodnie temu dałem się "namówić" na aktualizację aplikacji z Google - kilku ze wszystkich instalowanych z Google. Zaczęły mi się ściągać jakieś aplikacje klony już zainstalowanych (Np. Wifi analyzer miałem dwukrotnie), APUS, wyskakiwały mi reklamy i pełnoekranowe panienki, a telefon natychmiast się tak zamulił, że rozmowa się rwała, a to 8-rdeniowy telefon z 2 GB RAM - nierootowany. Trojany zagnieździły się tak głeboko, że nawet zrootowany, system nie dał się wyczyścić, przywrócenie ustawień fabrycznych również nie pomogło. Musiałem wgrać system od nowa - najpierw musiałem sporo na ten temat poczytać, bo brak specjalistów w moim mieście. Google nie dba o bezpieczeństwo i nawet mając wyłącznie apki z Google i nierootowany system producenta, można ze sklepu Play złapac straszny syf. Nie wiedziałem o tym wcześniej - pewnie Google nie lubi gdy Gazeta pisze, jak niebezpieczne są aplikacje ze sklepu Google. Dodam, że byłem zalogowany do własnej, zabezpieczonej sieci wi-fi i nie przeglądam żadnych dziwnych stron komórką. To telefon czysto użytkowy. Cały syf przyszedł z aplikacjami z Google. Jedyny pożytek, to nowe umiejętności, jednak większość ludzi musiałaby kupić nowy telefon - może to taka taktyka Google.

Aby ocenić zaloguj się lub zarejestrujX