Nawet nie mam zamiaru dzisiaj rozklejać się nad bezczelnością producentów, nie mam zamiaru też komentować. Dlaczego? Bo to nie jest już ani śmieszne, ani drażliwe. To jest wkurw… Myślę, że większość użytkowników myśli dokładnie w ten sposób.

Kiedy dotarła do mnie informacja prasowa o tym, że pięcioletnia luka w Androidzie została załatana, wcale się nie cieszyłem. To “yupi” w tytule jest czysto ironiczne. A z czego się tu cieszyć? Pięć lat byliśmy narażeni na pewnego rodzaju podatność i Ci na “górze” mieli to gdzieś.

Pracuje w branży IT ładnych parę lat i strasznie nie lubię zamiatania błędów pod dywan, co jest domieszką developerów.

Zawsze kończy się to tak, że albo klient wytknie błąd, albo odbędzie się to przy wdrożeniu nowej funkcjonalności, która zależy od tej z podatnością i coś przestanie działać przy update. Szkoda, bo Android jest niesamowicie dobrym systemem i takie dziury niszczą wizerunek. Firma FireEye poinformowała o tym, że nowo odkryta dziura w Androidzie była furtką dla atakujących do uzyskania dostępu do SMS-ów i historii połączeń oraz zmiany ustawień systemowych. Luka dotyczyła telefonów z chipsetem Qualcomma. Na szczęście nie było to w winy Google, który ostatnio trochę zbierał za problemy z systemem. Teraz wina leżała właśnie po stronie Qualcomm. Wprowadzając nowe API, naraziła na utratę danych posiadaczy setki modelów urządzeń z oprogramowaniem Google’a, a podatność na atak pojawiła się nawet w nieoficjalnym oprogramowaniu dostarczanym przez Cyanogen.

Luka sięga w tył aż roku 2011, czyli wersji Ice Cream. Niestety Nowsze wersje Androida także były podatne na atak.

Jak podano w komunikatach prasowych, wykryto dziurę w Androidzie w wersjach Android 4.3 Jelly Bean, Android 4.4 KitKat i Android 5.0 Lollipop. Nie wygląda to zbyt wesoło. Nie jest to jednak koniec nowinek, które mogą zwalić was z krzesła. Najgorsze dopiero przed nami. Okazało się, że Mobile Threat Prevention nie byłoby w stanie wykryć ataku z wykorzystaniem luki. Tak samo jest z Google Play i innymi aplikacjami antywirusowymi. Aplikacje wykorzystujące lukę proszą w dodatku o pozwolenie, z którego korzystają miliony innych aplikacji.

Główny producent SoC układów do urządzeń mobilnych poradził sobie z usterką w ciągu 90 dni i nie ma też udokumentowanych przypadków wykorzystania tej luki w praktyce. Tyle dobrego!