86% устройств на базе Android 4.3 не имеют достаточной защиты от багов

Андроид, ошибка приложения

ОБНОВЛЕНО: В понедельник IBM откорректировала свой отчет, добавив в него информацию о том, что проблема не так серьезна, как было заявлено вначале. «Уязвимы только устройства на базе ОС Android 4.3. Спасибо разработчикам ее системы безопасности за то, что указали нам на ошибку», говорится в тексте. Указанная версия ОС установлена примерно на 10.3% всех устройств, работающих на Android.

Ошибка Андроид

Первоначальная версия статьи:

Пользователи Android, будьте бдительны: 86% гаджетов, использующих эту ОС, рискуют серьезно пострадать от имеющихся в ней багов.

Специалисты IBM по вопросам безопасности программного обеспечения, обнаружили недоработку в сентябре и, не предавая ее огласке, предупредили своих коллег из Android. Спустя 2 месяца, последние выпустили патч для 4.4 KitKat, но проблема с остальными версиями ОС все еще не решена, а значит, они по-прежнему подвержены угрозе взлома.

По данным Google на 4 июля, примерно на 13.6% устройств Android установлена версия 4.4 KitKat, а на 10.3% — версия 4.3. При этом, большинство (29%) работает на 4.1. x, а 19% на 4.2. x.

В сообщении, опубликованном на прошлой неделе, команда IBM поясняет, что уязвимость находится в приложении Android KeyStore, где хранятся криптографические ключи и другие реквизиты учетных записей. Получив доступ к этой информации, хакеры могут узнать пароли от банковских счетов и виртуальной частной сети, PIN-коды и схемы разблокирования устройства.

Однако, следует отметить, что пробраться в это хранилище не так просто. По словам ведущего аналитика IBM по вопросам безопасности приложений Рои Хея (Roee Hay), инженеры Google предусмотрели несколько барьеров, позволяющих замедлить, а то и вовсе приостановить, процесс использования уязвимости со стороны хакера.

ОС Android защищают встроенная функция предотвращения выполнения кода и рандомизация местоположения адресной строки. Помимо этого, как сообщает Ars Technica, чтобы раздобыть необходимую информацию, взломщику пришлось бы установить на уязвимый телефон специальное приложение, например с сайта appwarm.com.

Но эти аргументы не спасают ситуацию: баг обнаружен в KeyStore, а это, по мнению Ars, один из самых важных ресурсов системы.

«Можно сказать, это своего рода хранилище, в котором содержатся учетные данные для проверки подлинности приложений. Так что, если вы получили доступ к KeyStore, вы можете воспользоваться именем владельца телефона, чтобы зайти в любой сервис, чье приложение имеется на этом устройстве», говорит Дэн Уоллах (Dan Wallach), профессор из Rice University, специализирующийся в вопросах безопасности Android.

По его словам, приложения, которые требуют авторизации при каждом входе (например, приложения, дающие доступ к услугам банка), рискуют меньше, чем легко взламываемые сервисы, как Twitter. Но пользователям нужно быть осторожнее, если речь идет о приложениях, загружающих на их телефон учетные данные VPN, поскольку таким образом хакеры получают возможность обойти сетевую защиту.

Ответа Google на просьбу о комментарии со стороны PCMag все еще не последовало.

Это не единственная проблема, касающаяся безопасности, с которой сталкиваются поклонники Android. В апреле, выпустив несколько патчей к программному обеспечению своей продукции, компания признала, что ОС Android 4.1.1 все еще остается уязвим для бага Heartbleed. Это ставит под угрозу информационную безопасность 34% ее пользователей.

Но не спешите менять свой телефон Android на более безопасный аналог на базе iOS, продукция Apple тоже не может похвастать стопроцентной неуязвимостью.

Что украла Apple?