Исследователи из ИБ-подразделения Google Project Zero выявили в системе безопасности топового смартфона Galaxy S6 Edge опасные уязвимости. 5 ноября в корпоративном блоге ИБ-специалист Google сообщил: «За одну неделю нам удалось найти 11 проблем с кодом, которые могли серьезно отразиться на безопасности (смартфона)». В связи с этим, необходимо напомнить: разработанная Google ОС Android основана на открытом ключе. И производители устройств, как правило, «подгоняют» программную платформу под тот или иной выпускаемый гаджет с помощью установки собственных программных элементов и изменения базовых кодов. Зачастую именно этот фактор и является причиной проблем в ослаблении ИБ «операционки».
К слову сказать, ИБ-эксперт из Университетского колледжа в Лондоне доктор Стивен Мёрдок, отметив высокую требовательность разработчика Android к системам ИБ модифицированных производителем устройств ОС, подчеркнул: «Отношения между Google и производителями телефонов остаются относительно напряженными, так как Google хочет защитить бренд Android, а в том, что касается безопасности, репутация бренда Android уже подорвана». По мнению исследователей, злоумышленники рано или поздно прознали бы про «дырки» ОС и воспользовались ими для кражи данных или иных преступных целей.
Обнаруженные экспертами Project Zero бреши показали, что механизм ИБ в этой модифицированной ОС весьма серьезно подорван. Правда, в отчете наряду с критикой и рекомендациями по улучшению ИБ «операцуионки» приводились и позитивные отзывы о целом ряде хороших сервисных решений для защиты информации. По словам экспертов, наиболее значительной уязвимостью является CVE-2015-7888, позволяющая в обход каталога записать файл в качестве системы, а также изменять функционал сервисов системы, в том числе и механизм защиты информации. Уязвимость CVE-2015-7889 в почтовом клиенте Samsung Email позволяет непривилегированным приложениям — без авторизации — пересылать письма на другие учетные записи. В почтовом клиенте есть и другая уязвимость — CVE-2015-7893, дающая возможность выполнить вредоносный файл JavaScript, внедренный в электронное письмо.
В драйверах обнаружено еще 3 уязвимости, и две из них (CVE-2015-6608 и CVE-2015-6609) влияют на переполнение буфера, а одна — на целостность данных в памяти. А еще 5 «дырок» было выявлено в механизме обработки изображений: две из них позволяли получить расширенные привилегии при открытии изображения в галерее Samsung, а еще три — срабатывали при загрузке изображения. Уязвимость CVE-2015-6611, которой исследователи присвоили «высокий» уровень опасности, возникла из-за неизвестной ошибки в libmediaserver. С помощью такого обходного пути злоумышленник может получить неограниченные возможности «откачивать» из устройства жертвы любую информацию. Далее. Уязвимости CVE-2015-6610, CVE-2015-6612, CVE-2015-6613, CVE-2015-6614: они вызваны ошибками в компонентах libstagefright, libmedia, Bluetooth и Telephony. Благодаря этим брешам установленные локальные вредоносные приложения смогут получать в системе устройства повышенные привилегии.
Компания Samsung отреагировала на указанные в отчете Project Zero об ИБ Galaxy S6 Edge замечания и критику достаточно оперативно. Эксперт из Project Zero Натали Силванович сообщила, что компания Samsung в рамках политики Google за 90-дневный период успешно ликвидировала все основные уязвимости в адаптированный под смартфон ОС Android. Оставшиеся 3 бреши будут «пропатчены» уже в ближайшем —ноябрьском — выпуске обновлений онлайн-сервиса Samsung Security Update.
.jpg)