Android má dlouhodobě problémy s bezpečností, protože výrobcům trvá dlouhé měsíce než uživatelům dodají aktualizace, o upgrade velkých verzí systému ani nemluvě. Ukazuje se ale, že problém je ještě hlubší: výrobci totiž bezpečnostní záplaty často nedodávají vůbec. Místo toho jen z marketingových důvodů mění datum v systému tak, aby měl uživatel pocit, že má nejnovější aktualizace nainstalovány.
Podle čerstvě vydané studie, za kterou stojí Karsten Nohl a Jakob Lell z německé bezpečnostní firmy Security Research Labs (SRL) se to navíc netýká jen několika malých neznámých výrobců podivných značek, ale jde o běžnou praxi. Máslo na hlavě mají Samsung, Xiaomi, OnePlus, Sony, HTC, LG i Huawei, je tedy zasažen prakticky celý trh s chytrými telefony s Androidem.
Tito výrobci svým uživatelům tvrdí, že jim dodávají nejnovější záplaty. Ve skutečnosti ale informaci falšují jen proto, aby zlepšili svou pozici na trhu. Uživatelé totiž problém s pomalými dodávkami aktualizací vnímají, proto výrobce s lepším záplatovacím systémem získává proti ostatním náskok. Ukazuje se ale, že to vede k velkým podvodům napříč všemi firmami.
Některé záplaty chybí
Nohl a Lell prozkoumali na 1200 telefonů od dvanácti různých výrobců a hledali všechny bezpečnostní záplaty, které byly pro Android vydány v loňském roce. Zjistili, že mnoho zařízení má v historii záplatování jednoduše díru. Velká část přístrojů je tak nechráněná, přestože o sobě hrdě tvrdí opak.
Výrobci jednoduše mění změní datum, aniž by dodali jedinou záplatu. Zřejmě z marketingových důvodů jednoduše nastaví v systému libovolné datum, aby to vypadalo co nejlépe,
řekl Nohl v rozhovoru pro Wired.
Google přitom vydává záplaty pravidelně každý měsíc, ale většina výrobců zavádí do systému vlastní úpravy, během kterých vynechají část aktualizací. Uživatel to přitom nemá jak jednoduše zjistit a musí se řídit prostou informací dodávanou výrobcem. Ta ovšem může být libovolně zfalšována, jak ukázal průzkum.
Odborníci prozkoumali telefony, které udávaly, že mají aplikované všechny záplaty. Zaměřili se jen na ty, které byly označeny jako kritické nebo vysoce nebezpečné. Objevili, že některé z nich většině výrobců chybí:
- 0–1 chybějící záplata: Google, Sony, Samsung, Wiko Mobile
- 1–2 chybějící záplaty: Xiaomi, OnePlus, Nokia
- 2–4 chybějící záplaty: HTC, Huawei, LG, Motorola
- 4 a více chybějících záplat: TCL, ZTE
Ne všichni jsou na tom stejně
Z výše uvedeného je vidět, že ne všichni výrobci mají stejně velký problém: Google, Samsung, Wiko Mobile a Sony zvládají aktualizace poměrně dobře včetně bezpečnostních záplat. Jiní, jako například HTC, Huawei nebo LG jsou na tom hůře.
Google se dlouhodobě snaží problém řešit – před časem s Androidem 8.0 Oreo například spustil projekt Treble, který má zjednodušit aktualizaci systému. Podařilo se oddělit část systému závislou na hardware od zbývající většiny. Výrobcům by to mělo zjednodušit přípravu aktualizací pro různé přístroje.
Podobným směrem míří také Android One, což je čistý operační systém dodávaný samotným Googlem. Výrobce tedy dodá hardware, Google v něm udržuje aktuální systém. Tedy prakticky stejný model, jaký funguje v Chromeboocích s Chrome OS. Zatím je k dispozici jen hrstka přístrojů do projektu zapojených, ale postupně přibývají další.
Objevitelé problému vyvinuli aplikaci SnoopSnitch, kterou si můžete zdarma nainstalovat. Pomůže vám ověřit, jak je na tom váš telefon s aktualizacemi doopravdy.
Podle Google je všechno složitější
Google už se k případu také vyjádřil, podle něj je dobře, že podobný průzkum vznikl. Je ale potřeba si uvědomit, že ne všechna testovaná zařízení jsou certifikována, tedy nemusejí splňovat bezpečnostní standardy stanovené Googlem. Zároveň jsou prý současné telefony vybaveny takovými technologiemi, které komplikují úspěšný útok i proti nezáplatovaným bezpečnostním dírám.
Firma také poukazuje na to, že chybějící záplaty je možné také vysvětlit tím, že výrobce prostě chybnou funkci odstranil nebo v daném modelu zařízení nikdy nebyla. Zda je to skutečně tak, bude ale muset ukázat další detailní zkoumání, které hodlá Google podniknout společně se SRL. Aktualizace jsou jen jednou z bezpečnostních vrstev, které chrání zařízení s Androidem a jeho uživatele,
řekl Scott Roberts, současný šéf vývoje Androidu.
Konkrétně jsou podle něj součástí platformy další prvky jako sandboxing aplikací, bezpečnostní služby jako Google Play Protect, ASLR (od Androidu 4.0) a další. Tyto nástroje společně s ohromnou diverzitou Androidu přispívají k tomu, že vzdálené napadení Androidu je velmi obtížné.
Na každé vrstvě záleží
Na prohlášení, že některé záplaty nemusí být vůbec potřeba, zase zpětně reagoval Karsten Nohl, který tvrdí, že jde o ojedinělé případy. To číslo rozhodně nebude nijak vysoké,
zpochybnil vysvětlení společnosti Google. Naopak obě strany se shodnou na tom, že doopravdy napadnout zařízení s Androidem je obtížnější, než by se mohlo na první pohled zdát. Díky mnoha různým zmíněným opatřením by úspěšné napadení vyžadovalo zneužití několika různých vážných zranitelností. I kdybyste některé záplaty vynechali, je velmi malá šance, že budou zrovna v takové konstelaci, že to umožní zařízení exploitovat,
dodává Nohl.
Smutnou skutečností tak zůstává, že zařízení s Androidem jsou častěji napadána pomocí sociálního inženýrství nebo vložením záškodnické aplikace do obchodu Google Play. Existují ale i jiné případy, kdy jsou použity zero-day chyby v kombinaci s již objevenými, ale málo záplatovanými. Nohl konkrétně zmínil spyware FinFisher, který zneužíval známé chyby Dirty COW a kombinoval ji s nově objevenými slabinami.
Karsten Nohl tvrdí, že důležitý je princip „ochrany do hloubky“, kdy na sebe navazují různé bezpečnostní úrovně. Chybějící záplata tak může znamenat odstranění jedné z těchto vrstev, a tedy i překážek v úspěšném ohrožení zařízení. Nikdy bychom to neměli útočníkům zjednodušovat tím, že necháme nezáplatované chyby, které z našeho pohledu samostatně nevytvářejí žádné riziko. Mohou ovšem tvořit jeden z dílků skládačky pro někoho jiného,
říká Nohl. Ochrana do hloubky znamená aplikovat všechny záplaty.