21 בינואר, 2016
רק לפני כמה ימים, פרספטיון פוינט, חברת אבטחה ישראלית, גילתה פגיעות אבטחה של אפס בלייזר של לינוקס, שמפעילה מספר אינסופי של שרתים, מחשבים שולחניים, וחשוב מכל, מכשירים ניידים מבוססי אנדרואיד . פורץ המעוניין לנצל את הפגיעות, יכול לזכות בהרשאות ברמת השורש במכשיר או לקבל גישה לא מורשית לנתונים או לבצע קוד בהתאם לרצונו.
עוד על הליבה לינוקס לינוקס
לדברי מומחים, הסיבה לליקוי טמון בליבת הליבה של לינוקס , שהיא דומה בהרבה על שרתים, מחשבים אישיים ומכשירי אנדרואיד. ליקוי זה, אשר הוקצה שם CVE-2016-0728, הוא האמין השפיעו על 60 אחוזים של כל מכשירי מופעל אנדרואיד. אגב, זה פגום הראשון עשה הופעה מוקדם ככל 2012 בגירסת לינוקס 3.8 ועדיין קיים הן על 32 סיביות ו 64 סיביות מבוססות לינוקס מערכות.
הדבר המטריד כאן הוא שהפגיעות קיימת כבר קרוב לשלוש שנים, ואפשרה לאקרים להשיג שליטה לא מורשית על שרתים עם לינוקס, מחשבים אישיים, אנדרואיד ומכשירים משובצים אחרים. זה בעצם עולה מן keyring של הקרנל מתקן ומאפשר יישומים הפועלים תחת המשתמש המקומי לבצע קוד בקרנל. פירוש הדבר כי הפגיעות עלולה לשים מידע רגיש של משתמשים, כולל מפתחות אימות והצפנה, בסיכון לחשיפה.
איך זה יכול להוות איום על אנדרואיד
הדבר שעלול להפוך את הפגיעות הזאת לחשש מרכזי הוא שזה משפיע על כל הארכיטקטורות, כולל ARM. באופן אוטומטי, כל מכשירי Android המבוססים על Android 4.4 KitKat ואילך, יושפעו מכך. נכון לעכשיו, חשבון זה מהווה כמעט 70% מכל מכשירי Android.
מערכת ההפעלה אנדרואיד כבר ידועה ברמה הגבוהה של פיצול ועיכובים בעדכונים. Google משתפת תיקוני אבטחה עם יצרני מכשירים, ולאחר מכן מיישמים אותם בנפרד. החברה מפיצה עדכונים נוספים בשיתוף עם המפעילים הסלולריים המעורבים. כדי לסבך עוד יותר את העניינים, רוב המכשירים האלה מקבלים תמיכה בתוכנה רק לתקופה של 18 חודשים, שלאחריו הם לא מקבלים עוד עדכונים או תיקונים. זה אומר לרמוז כי משתמשים רבים המכשיר, במיוחד אלה שמשתמשים במכשירי אנדרואיד ישנים, אולי אף פעם לא הועיל העדכונים האחרונים ותיקוני באגים.
נראה כי האירוע הזה מצביע על כך שמשתמשים בגירסאות ישנות יותר של Android לא יהיו בטוחים עוד לשימוש וכי עליהם לשדרג כל הזמן את המכשירים שלהם כדי לחוות את תכונות האבטחה העדכניות ביותר ופונקציונליות אחרת. גם זה יהיה פתרון לא מעשי לבעיה - לא כולם יהיו מוכנים לשנות את הטלפון החכם או הטאבלט שלהם פעם בכמה שנים.
עד כה, תעשיית הסלולר נחשפת לסוגים של תוכנות זדוניות ניידות, שלא היו מתוחכמות. עד כה, אין התקפה גרזן הציב איום רציני, רציני למשתמשים. עם זאת, העובדה היא כי אנדרואיד היא מטרה רכה עבור תוכנות זדוניות וזה יכול להיות רק עניין של זמן עד שמישהו משיקה התקפה מסיבית על הפגיעויות הקיימות שלה.
מה לינוקס ו- Google מתכנן לעשות
למרבה המזל, למרות הפגיעות קיימת, שום התקפה גרזן כבר הבחינו. עם זאת, מומחי אבטחה יהיה עכשיו לחפור עמוק יותר כדי למצוא אם הפגם הזה נוצל מתישהו בעבר הקרוב. צוותי האבטחה של Linux ו- Red Hat כבר פועלים להנפיק תיקונים קשורים - הם אמורים להיות זמינים עד סוף השבוע. עם זאת, יש חייב להיות כמה מערכות אשר עשויים עדיין להישאר פגיעים, לפחות במשך זמן מה.
Google לא יכלה לתת תשובה מיידית וסופית לגבי המועד שבו הפגם יתוקן בבסיס הקוד של Android. זו המערכת האקולוגית, להיות קוד פתוח, זה יהיה עד יצרני המכשיר ומפתחים להוסיף ולהפיץ את התיקון ללקוחות שלהם. בינתיים, Google, כמו תמיד, תמשיך להנפיק עדכונים חודשיים ותיקוני באגים לקו Nexus של מכשירי Android. הענק מתכננת לתמוך בכל אחד מהמודלים שלה לפחות שנתיים לאחר תאריך המכירה הראשונית בחנות המקוונת שלה.