Аналогичная проблема была обнаружена Джо Венниксом в Apple Safari еще в прошлом году. Империи Стива Джобса понадобилось немало времени, но предпринятые усилия оказались оправданными: Apple выпустила патч, и проблема не успела вызвать негодования среди «яблочных» фанатов.
Но у корпорации Google с устранением проблем во встроенных программах Android намного больше проблем. Основная загвоздка состоит в том, что на платформе Android до сих пор не существует механизма для быстрой доставки критически важных обновлений и заплаток в те или иные компоненты на мобильных устройствах, так как счет модификаций идет на тысячи.
Зная о проблеме слишком длительного ожидания обновлений, Google даже создала Android Upgrade Alliance, но инициативу сократить время ожидания не поддержали производители смартфонов, что в итоге привело к краху затеи. Ситуация настолько плачевна, что актуальные апдейты вовремя доходят даже не до всех смартфонов серии Google Nexus.
Например, поддержку Samsung GT-I9250 Galaxy Nexus частично возложили на Google и частично на Samsung. На данный момент автоматические обновления дошли только до аппаратов с прошитым идентификатором Google. Абсолютно идентичные устройства, но поддерживаемые командой Samsung, уже больше полугода довольствуются версией 4.2.1. Перспектив для апдейта до Android 4.4 у них вообще нет… То есть, значительная часть Google Nexus не получило актуальное обновление платформы по чистой формальности.
С обновлением Android-устройств сторонних производителей ситуация обстоит куда более плачевно. Многие из них никогда не получат официальных обновлений даже до Android 4.x, хотя их аппаратная начинка вполне себе соответствует апгрейту.
В этой связи обнаружение любой критической уязвимости на ОС Android сейчас таит в себе куда больше опасности, чем на любой другой операционной системе. Выходов из этой ситуации есть несколько:
С первым методом результативность будет попеременной. В основе многих сторонних приложений реально лежит старая база из предустановленных компонентов и новая интерфейсная надстройка. Следовательно, в их системах безопасности возникают те же проблемы, что в и стоковых компонентах Android.
По информации агентства Strategy Analytics, сейчас на долю Android устройств на рынке приходится почти 79%. Только за 2013 год по всему миру было продано более 780 млн смартфонов на «Андроиде». Из общего числа устройств только 1,8% работает на Android 4.4 (KitKat), тогда как на долю предыдущей версии 4.3 приходится 8,9% устройств.
Основная проблема кроется в политике распространения самой ОС Android. В отличие от Apple и Microsoft, Google «разбаловала» производителей смартфонов и операторов мобильной связи широкими возможностями по модифицированию своей ОС. Подавляющее большинство разработчиков ограничивается лишь разработкой своей оболочки интерфейса и установкой различных дополнений, но есть и такие, кто начинает копаться в тонкой настройке системных компонентов. Отсутствие жесткого контроля в итоге порождает появление несовместимых версий и проблемы в безопасности. Так, для Google это означает невозможность выпуска одного универсального обновления для всех Android-устройств под разными брендами, а последние не всегда и заинтересованы в том, чтобы устранять проблемы в безопасности старых устройств.
Последнее предположение подтверждает тот факт, что с каждой новой версией «операционки» от Google, все больше встроенных сервисов и пользовательских приложений переводится на обновление в интернет-магазине Google Play. Так уже обновляется почта Gmail, служба поиска, Карты, которые раньше обновлялись только с установкой новой прошивки.
Информация о распространенности найденной Венниксом уязвимости пока что разнится. Сам разработчик Rapid7 предполагает, что «дыра» в системе безопасности встроенного браузера относится ко всем версиям Android включительно до Ice Cream Sandwich. Известны также единичные сообщения об обнаружении уязвимости на смартфонах с Jelly Bean 4.1.x.
Подхватив эстафету Джо Венникса, другой исследователь Джошуа Дрейк решил проверить на уязвимость Google Glass версии XE12. К сожалению, но проблема актуальна и для этого гаджета. Соответствующая уязвимость обнаружена им в рамках независимого эксперимента. Используют ли обнаруженную проблему киберпреступники на практике – судить не берется никто. Подтвердить факт уязвимости своего устройства с Android можно зайдя на страницу проверки http://www.droidsec.org/tests/addjsif/ со встроенного интернет-обозревателя.