Vasárnap jelentették be DefConon, megvan hozzá a javítás is – legalábbis a Qualcomm részéről –, mégis retteghet 900 millió andoridos eszköz tulajdonosa a Check Point által felfedezett négy biztonsági rések miatt. A hiba azért is különösen veszélyes, mert anélkül ad az eszközhöz teljes hozzáférést a támadónak, hogy ehhez bármiféle extra hozzáférést kellene engedélyeznie a felhasználónak.

Bármit megcsinálhatnak

A Quadrooter lényegében négy biztonsági rés összefoglaló neve. A részleteket vasárnap a DefCon konferencián Adam Donenfeld, a Check Point kutatója mutatta be.

Ha a felhasználó olyan alkalmazást telepít, ami tartalmazza a biztonsági réseket kihasználó kódot, akkor a támadó root jogokat kap a készülék szoftvere és hardvere fölött, azaz akár a kamerát és a mikrofont is tudja távolról vezérelni. Így az adatlopástól (a készüléken tárolt bármilyen információ eltulajdonítható) a kommunikáció lehallgatásáig lényegében bármit megtehet.

Mivel a hiba a Qualcomm chipekkel függ össze, minden olyan készülék ki van téve a támadás veszélyének, amely a gyártó chipjére épül. Ez alól a világ legbiztonságosabbnak kikiáltott BlackBerry DTEK50 sem kivétel.

Várni kell a javítással

A chipgyártó azonnal lépett, és a hibajavításokat elküldte partnereinek. Egyelőre azonban csak a Google lépett, három hibát ugyanis a havi biztonsági frissítésével már javított. Ez azonban csak a gyártó készülékeit, Nexus 5X-et, a Nexus 6-ot és a Nexus 6P-t érinti, és azokra szeptemberben a negyedik hibához is érkezik javítás. Azt azonban nehéz megjósolni, hogy a többi gyártó mikor ad ki javításokat.

Pedig a hiba súlyos, hiszen a használatban lévő készülékek mintegy 80 százalékában a Qualcomm chipkészlete dolgozik. A hibajavítást ráadásul nehezíti – mint arra  Michael Shaulov, a Check Point termékmenedzsere a ZDNetnek utalt –, hogy a chipgyártó és a Google között vita van arról, hogy bizonyos hibákat kinek is kellene javítania.

Egyelőre a felhasználók annyit tehetnek, hogy letöltik a Check Point alkalmazását, a QuadRooter Scannert a Google Playből, és ellenőrzik vele, hogy készülékük ki van-e téve a sérülékenységnek. A Google Play szerint egyelőre 50-100 közötti az app letöltésszáma, azaz még nem csaptak le rá nagy tömegben a rettegő felhasználók.

Mutatja a biztonsági stratégia gyengeségét

A Google tavaly hirdette meg, hogy a nagy gyártókhoz hasonlóan (lásd pl. Microsoft hibajavító kedd) rendszeresen ad ki biztonsági frissítéseket az Androidhoz, pontosabban a saját Nexus készülékeihez. A gyártóknak már 2012. óta átadja ezeket a patcheket, amiket azok legjobb belátásuk szerint továbbítanak is a felhasználóknak.

Akkor sokan fűztek komoly reményeket ahhoz, hogy ez az első lépés afelé, hogy a teljes androidos ökoszisztéma végre rendszeres időközönként hozzájusson a legveszélyesebb sérülékenységek javításaihoz.

Az óvatosabbak azonban már akkor figyelmeztettek arra, hogy a döntés egyáltalán nem ad megoldást az Android eredendő problémájára, amely az ökoszisztéma töredezettségéből adódik: a gyártókat semmi sem kényszeríti arra, hogy ilyen szempontból együtt lépjenek a Google-lel.

Akkor például csak a Samsung és az LG jelezte szinte azonnal, hogy a Google-höz hasonlóan előbb-utóbb ők is áttérnek a havi rendszerességű biztonsági frissítések kiadására. De épp egy ilyen súlyos hiba, mint a QuadRooter mutatja, egyelőre sehol sem tartanak. Míg a Google legalább a négyből három hibát javított, addig a többi gyártóról nem nagyon tudni, mikor akarnak lépni.