Google ostrzega: Zaktualizuj Androida, czipy Qualcomm mają lukę

Cztery luki zostały wymienione przez Google Project Zero na liście tak zwanych luk zero-day w Androidzie. Oznacza to, że były znane cyberprzestępcom przed wydaniem poprawki. Luki te są obecne w ogromnej gamie urządzeń z czipami firmy Qualcomm.

Spokojnie, luki nie były wykorzystywane w masowych atakach. Zresztą, by wykorzystać lukę, trzeba mieć lokalny dostęp do urządzenia, więc wchodzą tu w grę wyłącznie ataki kierowane przeciwko konkretnym osobom. Błędy w mechanizmie zwalniania pamięci Mali GPU po użyciu pozwalały atakującym zapisać własne dane w pamięci, która powinna być dostępna wyłącznie do odczytu.

Qualcomm potwierdził, że dostał zgłoszenia wspomnianych luk w ostatnich miesiącach 2020 roku i jedna z nich ma status poważnej.

Zobacz: Android pozwala aplikacjom czytać dane o kontakcie z COVID-19
Zobacz: Realme 8 5G, czyli konsola do gier w smartfonie za 999 zł

Czy Google straszy nas niepotrzebnie?

Informacja opublikowana przez Google Zero mówi dosłownie, że luki mogły być wykorzystywane w ograniczonych, kierowanych atakach. To sformułowanie jest tak miałkie, że zupełnie nie wiadomo, czy mamy czym się przejmować. Z tego też powodu na specjalistów z Google Zero spadło sporo krytyki. 

Google się broni i ma w tym sporo racji. Shane Hutney z Google Threat Analysis Group wyjaśnił, że Google nie zna dokładnego zakresu celów. Exploit mógł być obecny na czarnym rynku albo mógł zostać zgłoszony przez osobę, która chce zachować anonimowość - to też się zdarza w świecie cyberbezpieczeństwa.

Z punktu widzenia Google oznaczenie luki jako potencjalnie wykorzystywanej w realnych atakach ma jeszcze jedną korzyść: wyższy priorytet. Nawet jeśli po sklepie Play nie grasuje malware wykorzystujący lukę na połowie działających telefonów z Androidem, takie znane luki należy załatać jak najszybciej. Tymczasem luki zgłoszone drogą "białych kapeluszy" można zachować w tajemnicy i zabezpieczać w drugiej kolejności.

Źródło tekstu: Google, Qualcomm