В ядре Android обнаружены критические уязвимости
Исследование наиболее важной части операционной системы Google Android, проведённое группой анализа кода Coverity, выявило программные ошибки, некоторые из которых позволяют хакерам или вредоносным программам получать доступ к e-mail или другим ценным сведениям пользователя.
Анализу подверглось ядро Android — сердце открытой мобильной ОС от компании Google, поставляемое с телефонами HTC Droid Incredible. Впрочем, исследование говорит о том, что и другие телефоны Android, вероятно, имеют те же самые программные уязвимости. Представители Google отмечают, что Android обновляется удалённо, и если компания признает необходимым, проблемы могут быть исправлены.
Исследование группы Coverity, анализирующей код, служит напоминанием о том, что смартфоны уязвимы к атакам, несмотря на то, что они получают всё большее распространение в корпоративном секторе. Впрочем, это не выставляет Android в дурном свете: Research in Motion в смартфонах BlackBerry и Apple в iPhone также исправляли критические уязвимости через обновления ПО.
Крупные компании более благосклонно относятся к использованию сотрудниками смартфонов для персональных и бизнес-целей и предоставляют всё более широкий доступ ко внутренним функциям с телефонов. Некоторые группы, которые ранее признавали лишь смартфоны BlackBerry, имевшие высокую репутацию с точки зрения безопасности, теперь разрешают использование аппаратов iPhone и Android.
«Мы находимся в рискованном положении, прежде чем люди смогут сделать смартфоны более защищёнными», — отмечает Крис Вусопал (Chris Wysopal), главный технолог компании Veracode, занимающейся анализом уязвимостей приложений для смартфонов, добавляя: «Любые проблемы в ядре — это важный повод для беспокойства».
Энди Чоу (Andy Chou), один из основателей Coverity, отмечает, что сейчас его компания отправила подробный отчёт об ошибках в коде ядра Android Google и HTC, а примерно через 2 месяца планирует сделать его доступным широкой общественности, чтобы у компаний было время исправить ошибки. HTC пока никак не прокомментировала эти сведения.
В то время как число проблем в ядре Android, обнаруженных Coverity, на 1000 строчек кода ниже, чем в среднем проекте с отрытым кодом, 88% из них относятся к группе высокого риска. Они включают неправильный доступ к памяти, искажение памяти и имеют «значительный потенциал к тому, чтобы стать причинами уязвимостей, потери данных или проблем вроде полного отказа системы».
С ростом популярности смартфонов вредоносные программы будут всё опаснее, станут появляться и те, что рассчитаны на кражу информации. Поэтому необходимо заранее минимизировать риски подобных атак. Такие компании, как Juniper Networks и Cisco Systems, начали предоставлять надёжные виртуальные частные сети, а также антивирусы и другие защитные меры для смартфонов.
Впрочем, Джон Пескатор (John Pescatore), ведущий аналитик по интернет-безопасности в Gartner, отмечает, что эти беспокойства ничто по сравнению с проблемой потери или кражи смартфона: «Потеря информации в результате пропажи или кражи смартфона гораздо больший риск, нежели червь или вирус. Да, последние существуют. И акулы едят людей, но обе эти проблемы не присутствуют в моём списке самых больших опасностей».