Prawie połowa urządzeń Android wciąż ma dziurawe przeglądarki

Prawie 45% urządzeń pracujących pod kontrolą systemu Android wykorzystuje przeglądarkę AOSP (Android Open Source Project), w której są dwie niebezpieczne luki odkryte przed miesiącem. Pozwalają one na sforsowanie zabezpieczenia SOP (Same-Origin Policy) znajdującego się w każdej przeglądarce.

Z badania przeprowadzonego przez firmę Lookout, zajmująca się bezpieczeństwem przenośnych systemów komputerowych, wynika, że w 81 procentach urządzeń Android funkcjonujących aktualnie w Japonii znajdują się przeglądarki zawierające dziury SOP. W USA urządzeń takich jest 34%, gorzej wygląda to w Hiszpanii (73%), a nieco lepiej w Wielkiej Brytanii (51%). Na liście tej nie ma niestety Polski, tak iż trudno powiedzieć jaka jest sytuacja w naszym kraju.

Specyfika odkrytych dziur spowodowała, że zagrożeniu nadano barwnie brzmiącą nazwę "katastrofa prywatności" (privacy disaster).

Zobacz również:

Mechanizm SOP jest jednym z podstawowych elementów systemu bezpieczeństwa i jest stosowany we wszystkich przeglądarkach internetowych. Czuwa nad tym, aby skrypty działające w jednej domenie nie wchodziły w interakcje ze skryptami znajdującymi się w innych domenach. Chodzi tu o to, aby skrypty umieszczone na stronie hostowanej w ramach domeny A nie mogły wchodzić w interakcję z treścią załadowaną na tę stronę z domeny B. Jest on.

Bo brak takiej kontroli powodowałby, że haker mógłby tworzyć strony, na które można by ładować zewnętrzne zasoby mające postać niewidzialnych elementów iframe przechowywanych na witrynach takich, jak Facebook czy Gmail. Użytkownik odwiedzający taką stronę byłby wtedy narażony na to, że haker zacznie przejmować jego wiadomości e-mail czy też w jego imieniu przesyłać własne treści na witrynę Facebook.

Mechanizm SOP zawierający dziury znajduje się w domyślnej przeglądarce AOSP towarzyszącej systemowi operacyjnemu Android, ale dotyczy to tylko wersji, które są starsze niż 4.4. Urządzenia z systemem Android 4.4 są już bezpieczne, ponieważ korzystają domyślnie z usług przeglądarki Google Chrome, a nie starszej AOSP. Ale według badań przeprowadzonych przez Google, 75% wszystkich urządzeń Android odwiedzających Google Play Store wciąż zawiera dziurawe oprogramowanie.

Google udostępnił już odpowiednie łaty, dzięki którym producenci urządzeń pracujących pod kontrolą Android mogą instalować bezpieczne wersje przeglądarek, a także udostępniać odpowiednie modyfikacje oprogramowania firmware. Jak jednak wynika z przytoczonych wyżej wyników badań, wiele starszych urządzeń wciąż korzysta z dziurawych wersji przeglądarki, która powinna zostać jak najszybciej zaktualizowana.

Problem polega na tym, że producenci urządzeń Android nawet dzisiaj potrafią zainstalować w ich pamięciach starsze wersje systemu operacyjnego. Użytkownik kupujący takie urządzenie nie ma wtedy pewności, czy domyślna przeglądarka jest bezpieczna czy nie.

Niestety, jak wynika z dotychczasowych doświadczeń, dostępność aktualizacji firmowych wersji Android istotnie różni się zależnie od producenta urządzeń, od modeli znajdujących się w ofercie, a także od kraju w którym są sprzedawane, bo często są to urządzenia oferowane przez operatorów telekomunikacyjnych. Stąd też wynikają tak duże różnice w prezentowanych wyżej statystykach.

Powyższa informacja pokazuje dobitnie, że ekosystemowi Android wciąż jest daleko do doskonałości, szczególnie w tak wrażliwej dziedzinie, jak bezpieczeństwo, a proces udostępniania łat likwidujących dziury dostrzeżone w oprogramowaniu może budzić zastrzeżenia.

Jeśli użytkownik smartfona lub tabletu stwierdzi, że ma urządzenie w którym zainstalowane jest oprogramowanie zawierające dziurę SOP, powinien sprawdzić czy jego producent oferuje już odpowiednią aktualizację firmware lub jak najszybciej zmienić przeglądarkę AOSP na inną, taką jak Chrome czy Firefox.


TOP 200