Girstil

Android-sikkerhet er feil, og marshmallow kan ikke fikse det

Hvilken Film Å Se?
 

Kilde: Twitter.com/Android

Kilde: Thinkstock

Kilde: Thinkstock

Det har ikke vært en god uke for sikkerheten til Android-operativsystemet, med fortsatte rapporter om tilstanden til flere vedvarende sårbarheter som påvirker millioner av brukere. Og det ser ut som at selv Android Marshmallow, den neste store utgivelsen av programvaren som Google vil lansere i høst, ikke kommer til å gjøre mye for å dempe de store sikkerhetsproblemene som ligger til grunn for verdens mest populære mobile operativsystem.

Dan Goodin rapporterer for Ars Technica at to separate kodefeil fortsette å sette millioner av brukere i fare. Den første innebærer en nylig oppdatering fra Google, som tok sikte på å fikse en feil som gjorde det mulig for angripere å utføre ondsinnet kode på rundt 950 millioner Android-telefoner - ved å bruke ingenting mer enn en tekstmelding sendt til brukerens telefonnummer. Sju dager etter at Google distribuerte en løsning, rapporterte sikkerhetsforskere at oppdateringen, som Google har hatt siden april, i seg selv er så mangelfull at angripere fortsatt kan utnytte sårbarheten. 'Plasteret er på 4 linjer med kode og ble (antagelig) vurdert av Google-ingeniører før forsendelse,' sa Jordan Gruskovnjak og Aaron Portnoy fra sikkerhetsfirmaet Exodus Intelligence til Ars Technica. 'Publikum generelt mener den nåværende oppdateringen beskytter dem når den faktisk ikke gjør det.'

Sårbarheten er et resultat av en bufferoverløpsfeil i Stagefright, kodebiblioteket som behandler video i Android-operativsystemet. Plasteret, som ble sendt inn av forskerne som oppdaget feilen og rapporterte den privat til Google i april, forhindrer noen, men ikke alle utnyttelser.

Buffere fungerer som containere for bestemte datamengder, og når den angitte størrelsen overskrides, kan innholdet utføres. Nye versjoner av Android gjør utnyttelse av overløp vanskeligere å fullføre med et sikkerhetstiltak kalt randomisering av adresseplassoppsett, som randomiserer stedene der den ondsinnede koden er lastet inn. Imidlertid kan mer avanserte hackere ofte omgå lindring.

Som Apple Insider rapporterte, Google ga ut en ny oppdatering til partnerne, og Nexus 4, 5, 6, 7, 9, 10 og Nexus Player kan være den første som får oppdateringen når den blir utgitt i september. Det er uklart når ikke-Nexus-telefoner får den nye oppdateringen. I Goodins beregning understreker «Hendelsen hvor vanskelig det er å få sikkerheten riktig.»

I en egen hendelse rapporterte forskere fra sikkerhetsfirmaet MWR Labs om en feil som gjør det mulig for ondsinnede apper å bryte ut av Android-sikkerhetssandboksen, et nøkkelforsvar som forhindrer at passord og sensitive data som er tilknyttet en app, får tilgang til en annen. Feilen, som ligger i Android Admin-applikasjonen, gjør det mulig for apper å omgå begrensningene og lese vilkårlige filer ved bruk av symbolske lenker.

Ars Technica bemerker at utslett av sårbarheter, og vanskeligheter med å få installert reparasjoner på brukernes enheter, tar en toll på Android-operativsystemet. Mens det foreløpig ikke er indikasjoner på at sårbarhetene faktisk blir utnyttet, er brukerne bekymret. Og med god grunn: Selv den neste versjonen av Android, nylig kunngjort som Marshmallow, vil ikke ta for seg Androids mangelfulle sikkerhetsmodell.

Ina Fried og Mark Bergen rapporterer for Re / Code at begge de siste Android-sårbarhetene “understreker nagende hodepine Google har bygget med et operativsystem som er så avhengig av maskinvarepartnere, hvorav mange sliter med å opprettholde fortjeneste. Og det viser at Google vil fortsette å kjempe med problemene når Android beveger seg på andre enheter, som biler, wearables og hjemmeautomatisering. ' Google har ikke kontroll over oppdateringsprosessen for Android, som avhenger av produsenter og trådløse operatører.

hvor mange barn har john force

Re / Code bemerker at Androids nåværende sikkerhetsproblemer minner om de som Microsoft opplevde med Windows 'tilbake på dagen.' Det dominerende operativsystemet fant seg som mål for stadige angrep, og mange bedrifter var tilbakeholdne med å oppdatere sine servere og PC-er uten uavhengig testing. Men mens de hadde muligheten til å installere oppdateringer så snart Microsoft gjorde dem tilgjengelige, frigjør Google oppdateringer som vanligvis går til telefonprodusenten, ikke til sluttbrukeren. Telefonprodusenter, som allerede er stresset under tynne marginer og hard konkurranse, oppdaterer ofte ikke telefoner som allerede er solgt. Det er et problem for store, multinasjonale smarttelefonprodusenter, og potensielt større for små, lokale produsenter som selger budsjettelefoner.

Fordi store programvareoppdateringer også ofte går gjennom operatørene, som gjør sine egne tester, tar det ofte måneder å bli godkjent for store utgivelser hvis de i det hele tatt blir gjort tilgjengelig. Mange i bransjen anerkjenner at Android-sikkerhetsoppdateringer trenger en ny tilnærming, og Google har allerede forpliktet seg til månedlige oppdateringer, en tidsplan som Samsung og LG har blitt enige om å støtte. Google sa nylig at det ville presse månedlige oppdateringer spesielt for sikkerhet til Nexus-enheter, som er de eneste som Google kan kontrollere.

Mer fra Gear & Style Cheat Sheet:

  • Hva du trenger å vite om Verizons nye planer og priser
  • De beste funksjonene til Samsungs nye Galaxy-smarttelefoner
  • 5 trinn for å finne en bedre smarttelefon- eller mobilplan