Это исправление ошибки Google Pixel могло вызвать

Google предупреждает, что производители Android-смартфонов должны лучше ремонтировать свои устройства.

В сообщении в блоге (открывается в новой вкладке), опубликованном подразделением Google по кибербезопасности Project Zero, исследователи объясняют, что самая сильная сторона Android — децентрализация его экосистемы — также является его самой большой слабостью.

В нынешнем виде, по его словам, процесс установки исправлений слишком медленный, громоздкий и слишком разделенный, в результате чего потребители подвержены известным уязвимостям, которые относительно легко использовать.

Проблемы децентрализации

Android, хотя и созданный Google, основан на Linux и, по сути, является решением с открытым исходным кодом, поэтому сторонние производители смартфонов, такие как Samsung, Oppo, LG и OnePlus, могут получить право собственности на свою версию операционной системы.

Поэтому, когда Google выпускает патч, он должен быть сначала проанализирован и изменен производителем, прежде чем он будет загружен на устройство. Это означает, что пользователи Android могут быть скомпрометированы вредоносными программами в течение длительного периода времени.

Если этот период слишком затянется и Google опубликует подробности об уязвимости, у киберпреступников появится уникальная возможность скомпрометировать конечные точки без поиска новых нулевых дней.

Apple, напротив, предлагает закрытую экосистему для своих устройств. Компания отвечает за создание большей части своего аппаратного и программного обеспечения. Таким образом, когда Apple полностью контролирует обновления, всякий раз, когда компания выпускает исправление, большинство устройств получают его довольно быстро.

Именно это произошло с CVE-2021-39793, уязвимостью драйвера графического процессора ARM Mali, используемой многими устройствами Android, о которой TechRadar Pro сообщил в ноябре 2022 года.

Как только Google завершил расследование этого нулевого дня в июле 2022 года, он сообщил о результатах ARM, которая затем исправила их в августе 2022 года. Тридцать дней спустя Google обнародовала свои выводы.

Однако Google обнаружил, что все тестовые устройства, использующие Mali, по-прежнему уязвимы для проблем. «CVE-2022-36449 не упоминается ни в одном последующем бюллетене по безопасности», — сказал он тогда, подняв тему того, что он называет «дырой в патчах».

«Подобно тому, как пользователям рекомендуется исправлять ошибки как можно скорее, как только станет доступна версия, содержащая обновления для системы безопасности, так же поступают и поставщики и предприятия», — говорится в сообщении в блоге.

«Сведение к минимуму «зазора между исправлениями» в качестве поставщика в этих сценариях, возможно, более важно, поскольку конечные пользователи (или другие нижестоящие поставщики) блокируют это действие, прежде чем они смогут ощутить преимущества безопасности исправления».

«Компании должны сохранять бдительность, внимательно следить за исходными источниками и делать все возможное, чтобы предоставить пользователям полные решения как можно скорее».

Поделиться