Οι απειλές ασφαλείας στο smartphone σου είναι συχνές. Επισκέπτεσαι τον λάθος σύνδεσμο ή εγκαθιστάς τη λάθος εφαρμογή. Αλλά για εκατομμύρια Android συσκευές, οι ευπάθειες, βρίσκονται βαθιά μέσα στο λογισμικό της συσκευής και περιμένουν πότε κάποιος θα τις εκμεταλλευτεί. Ποιος τις έβαλε εκεί; Απλά, είτε ο κατασκευαστής που δημιούργησε τη συσκευή, είτε ο πάροχος που στην πουλάει.
Σε αυτό το συμπέρασμα καταλήγει μια νέα έρευνα η οποία διεξήχθη από την εταιρεία ασφαλείας Kryptowire και η οποία αναφέρεται λεπτομερώς σε ευπάθειες οι οποίες βρίσκονται προεγκατεστημένες σε 10 συσκευές που πωλούνται σε μεγάλους παρόχους της Αμερικής. Η σοβαρότητα των ευπαθειών αυτών ποικίλει, για παράδειγμα μπορούν να κλειδώσουν τη συσκευή του χρήστη και να αποκτήσουν πρόσβαση στο μικρόφωνο και σε άλλες λειτουργίες. Οι συγκεκριμένες ευπάθειες αποτελούν προϊόν ενός ανοικτού οικοσυστήματος όπως είναι το android, το οποίο επιτρέπει σε εταιρίες να τροποποιήσουν τον κώδικα του σύμφωνα με τις επιθυμίες τους, όπως σημειώνει η Kryptowire.
Δεν υπάρχει κάτι κακό σε αυτό θα μπορούσαμε να πούμε, άλλωστε επιτρέπει την διαφοροποίηση που δίνει στους ανθρώπους περισσότερες επιλογές. Η Google θα διαθέσει μια stock έκδοση του Android pie αυτό το φθινόπωρο, ωστόσο θα καταφτάσει σε πολλές υλοποιήσεις. Αυτές οι υλοποιήσεις προκαλούν πονοκέφαλο στους κατασκευαστές και φυσικά έχουν ως επακόλουθο να καθυστερούν οι ενημερώσεις ασφαλείας.
Το πρόβλημα δεν πρόκειται να αλλάξει ούτε να επιλυθεί τουλάχιστον όχι σύντομα καθώς πολλοί άνθρωποι στη διαδικασία παραγωγής της συσκευής θέλουν να προσθέσουν το δικό τους λογισμικό και να τροποποιήσουν τον κώδικα. Όπως επισημαίνει χαρακτηριστικά, ο κ. Σταύρου, εκθέτουν τον τελικό χρήστη σε ευπάθειες που δυστυχώς δεν μπορεί να απαντήσει. Το συνέδριο Βlack Hat, στο οποίο παρουσιάστηκαν τα αποτελέσματα της έρευνας ασχολείται κυρίως με συσκευές από την Asus, LG, Essential και ZTE.
Ας πάρουμε για παράδειγμα το Asus ZenFone V Live, μία συσκευή η οποία πωλείται στην Αμερική. Πρόκειται για ένα smartphone το οποίο αφήνει τους χρήστες του απροστάτευτους και αυτό γιατί δίνει τη δυνατότητα σε κάποιον χάκερ να προβεί στην εγγραφή βίντεο της οθόνης του χρήστη, να πραγματοποιεί κλήσεις, να διαβάζει και να τροποποιεί μηνύματα κειμένου και πολλά περισσότερα. H Asus από την μεριά της αναφέρει ότι είναι ενήμερη για αυτά τα προβλήματα και υπόσχεται ότι θα τα διορθώσει σε μελλοντική αναβάθμιση του λογισμικού.
Σε αυτό το στάδιο, η διάθεση μιας ενημέρωσης λογισμικού είναι το περισσότερο που μπορεί να κάνει η Asus. Αλλά ο Σταύρου επισημαίνει ότι ο χρήστης θα πρέπει να κάνει αποδοχή το patch. Επομένως, ακόμη και αν σταλθεί στη συσκευή του χρήστη, ο ίδιος θα πρέπει να το αποδεχθεί. Κάτι που δεν συμβαίνει πάντα. Οι επιθέσεις που περιγράφει η εταιρεία ασφαλείας στην έρευνα της απαιτούν από το χρήστη να προβεί στην εγκατάσταση μιας εφαρμογής. Ο Σταύρου αναφέρει ότι αυτό που κάνει αυτές τις ευπάθειες τόσο επικίνδυνες είναι ότι οι εφαρμογές δεν χρειάζονται ειδικά δικαιώματα για να εγκατασταθούν στη συσκευή. Αντίθετα μία εφαρμογή θα αποκτήσει τα σχετικά δικαιώματα από μόνη της χάρη στο προβληματικό firmware. Ένα τέτοιο σενάριο μπορεί να οδηγήσει σε ποικίλα προβλήματα ανάλογα με το smartphone.
Για παράδειγμα, στα ZTE Blade Spark και Blade Vantage, τα προβλήματα με το firmware, θα επιτρέψουν σε οποιαδήποτε εφαρμογή να έχει πρόσβαση στα μηνύματα κειμένου στα δεδομένα των κλήσεων αλλά και στα αρχεία που παράγει το σύστημα και περιλαμβάνουν ευαίσθητες πληροφορίες, όπως διευθύνσεις ηλεκτρονικού ταχυδρομείου συντεταγμένες και πολλά περισσότερα. Στο LG G6 τέτοιες ευπάθειες μπορούν να κλειδώσουν το χρήστη έξω από τη συσκευή του. Ένας hacker θα μπορούσε να προβεί στην εργοστασιακή επαναφορά του Essential Phone, διαγράφοντας όλα τα δεδομένα.
Οι εταιρείες για τις οποίες η έρευνα αναφέρει ότι οι συσκευές τους αντιμετωπίζουν προβλήματα ευπαθειών, άλλες δήλωσαν ότι τις έχουν επιλύσει, ενώ άλλες τόνισαν ότι τις συμπεριέλαβαν σε μελλοντικό χρονοδιάγραμμα διάθεσης ενημερώσεων ασφαλείας. Όλες αυτές οι δηλώσεις δείχνουν με τον πιο χαρακτηριστικό τρόπο, ένα από τα θεμελιώδη προβλήματα που αντιμετωπίζει το android.
Οι ενημερώσεις ασφαλείας θέλουν χρόνο για να δημιουργηθούν και να δοκιμαστούν και πρέπει να περάσουν από ειδική διαδικασία πιστοποίησης ώστε να διατεθούν από τους κατασκευαστές στους παρόχους και μετά στον τελικό χρήστη. Και ενώ περιμένεις δεν μπορείς να κάνεις κάτι για να διορθώσεις το πρόβλημα από μόνος σου η για να μιλήσουμε ρεαλιστικά δεν μπορείς καν να αναγνωρίσεις αν υπάρχει όντως πρόβλημα.
Αλλά ακόμα και αν ο χρήστης εντοπίσει την ευπάθεια και έχει γνώση αυτής, δεν έχει κάτι άλλο να κάνει από το να περιμένει τον κατασκευαστή ή τον πάροχο να ενημερώσει το λογισμικό της συσκευής του. Αυτά, έχει η ανοιχτή φύση του Android.
Ακολουθήστε το Techmaniacs.gr στο Google News για να διαβάζετε πρώτοι όλα τα τεχνολογικά νέα. Ένας ακόμα τρόπος να μαθαίνετε τα πάντα πρώτοι είναι να προσθέσετε το Techmaniacs.gr στον RSS feeder σας χρησιμοποιώντας τον σύνδεσμο: https://techmaniacs.gr/feed/.
