Google Project Zero, ktorého hlavnou úlohou je hľadanie zraniteľností a bezpečnostných chýb, informoval o ďalšom bezpečnostnom riziku. Tentokrát sa týka WiFi čipov spoločnosti Broadcom, ktoré sa nachádzajú aj v smartfónoch.
“Útočník v dosahu WiFi zariadenia môže prostredníctvom chyby na WiFi čipe spustiť ľubovoľný kód.”, informuje vo svojej správe spoločnosť Apple. Práve tá ihneď po odhalení chyby vydala aktualizáciu systému, ktorá ju opravuje. Jej inštaláciu odporúča všetkým svojim zákazníkom.
Aj vďaka novej bezpečnostnej diere je možné k zariadeniu získať úplný prístup. Stačí byť v dosahu jeho WiFi siete, pričom prebratie kontroly sa deje bez toho, aby používateľ pozoroval akékoľvek narušenie bezpečnosti.
Čipy spoločnosti Broadcom sú vo veľkom používané práve v mobilnom priemysle, takže bezpečnostné riziko sa netýka iba majiteľov produktov Apple, Nexusov či Samsung zariadení, ale aj ďalších, ktorí tieto čipy používajú. Našťastie, Broadcom bol pri riešení tohto problému veľmi nápomocný a opravu chyby poskytol všetkým výrobcom. Je už len na nich, aby opravu implementovali v ďalšej aktualizácii.
Zdroj: Techcrunch
Ok, takže ja a zopár ďalších kolegov s Nexusmi, iPhonmi a vybranými piatimi modelmi Samsungu budeme v bezpečí. A vy ostatní si kúpte nové zariadenia? Už by sa to malo začať nejak riešiť – centralizovane, rýchlo. Mnoho ľudí má v smartphonoch citlivejšie dáta než v notebookoch, PC a podobne. Jasné, tieto chyby a ohrozenia sa dotýkajú okolo 0,1% zariadení a ostatné ohrozenia si spôsobuje užívateľ sám (inštálacia bordelu, povoľovanie prístupov, pripájanie na nezabezpečené siete). Napriek tomu by sa to nemal brať na ľahkú váhu a výrobcovia by na to kašlať rozhodne nemali. Nepáči sa mi ich hra, že ak chcete bezpečné zariadenie s podporou, musíte si priplatiť. Inak sa náš vzťah končí, keď obdržíme platbu za zariadenie.
ako to chces centralizovane riesit? Mas niekolko firiem ktore dodavaju hardware a nemozes to zuzit iba na jednu firmu, lebo tym stupne cena na trhu a spomali to inovacie, kedze nebude konkurencia na trhu.
Potom mas firmy ako Apple, Huawei, Samsung atd, ktore vyrabaju mobilne zariadenia, ale nemaju kapacitu vyrabat si uplne kazdy komponent a ani to nie je pre firmu dobre rozhodnutie, tak si tie cipy kupuju od inych firiem. Tu uz je to o tom, ze tieto firmy ktore vyrabaju mobilne zariadenia si musia davat pozor na svojho dodavatela. Ale to sa niekedy fakt tazko hladaju taketo veci.
Potom prichadza na sferu este software a to tiez nie je centralizovane a v zasade ani nemoze, lebo kazda firma ma svoj vlastny softver, upravy atd.
Napr iOs aj Android maju Linuxovy kernel, cize zdielaju vela kodu, ale kazdy OS ma vlastne patche do kernelu, ktorymi pridavaju vlastne funkcnosti do svojich produktov a tym padom mozu mat zranitelny kernel. Nehovoriac o Android vyrobcoch, ktory kedze Android OS je open source projekt podobne ako Linux, si mozu upravovat Android kernel ako sa im zachce na lubovolnej vrstve softveroveho stacku.
Dnes je prakticky nepredstavitelne aby Linux zmenil svoju licenciu, ze nesmie byt distribuovany s upravenym kernelom, to by prakticky znamenalo, ze niektore firmy by vytvorili vlastnu Open Source iniciativu vytvorenia vlastneho unixoveho operacneho systemu ktory by zastupil Linux. Problem so security by to nevyriesilo, iba by sa to zhorsilo, kedze Linux je uz aspon casom dost odskusany a novy OS by mal problemy.
Toto nevyriesis. Aj hladat bezpecnostne rizika vobec nie je take lahke, mozes mat bezpecnostne riziko ktore si nikto nevsimne cele roky (ako napr Heartbleed v OpenSSL). Hladat bezpecnostne zranitelnosti je dost tazke a velakrat je to skor nahoda ako deliberate attempt.
Windows Mobile to mal vyriesene. Na vsetkych zariadeniach musel byt rovnaky system, bez uprav a updaty robil centralne MS. Na vsetkych zariadeniach. Podobne ako to robi na PC.
no a vysledkom je, ze vyrobcovia NECHCU pouzivat Windows Mobile. Okrem toho to vyrazne zhorsuje konkurencny boj, lebo jednotlive firmy si v pripade windows phone konkuruju iba hardverom, co je pre vela uzivatelov nezaujimave. Maximalne nejake predinstalovane aplikacie and that’s it
Tak sa musia rozhodnúť. Buď bezpečnosť alebo voľnosť v deravom systéme. Btw, stačilo by, keby Google uzamkol úpravy jadra systému a ten mal pod aktualizačnou kontrolou.
nestacilo, pretoze jadro systemu nie je jedine miesto kde moze vzniknut bezpecnostna zranitelnost. Navyse Android OS je OPEN SOURCE projekt s licenciou ktora umoznuje lubovolne menit lubovolnu cast. Aj ked sa to obcas v open source komunite deje, napriek tomu je relativne vzacne stanovit vyrazne prisnejsie podmienky pre distribuciu upravenej verzie. A dalsia vec je, ze este raz, vyrobcovia prejdu na ine riesenia, ako obidu licence podmienky.
Okrem toho ze aj tak to co navrhujes nijako nesposobi, ze zrazu budu tie zariadenia bezpecnejsie, prave uplne naopak, znemozni to individualnym vyrobcom opravit chybu skor, nez sa tak rozhodne Google.
Nicomu to nepomoze a skor to prinesie vyrobcom problemy, pre ktore sa rozhodnu ist inymi cestami.
Centralizacia je presny opak security. Internet je jeden z najbezpecnejsich systemov na svete, v zmysle, ze nemozes globalbe vypnut internet, nemozes globalne zasiahnut uplne kazdy system v sieti, pretoze to je silno decentralizovany distribuovany system, ktoreho komplexita je umyselne vytlacana s jadra siete do koncovych bodov. Nie je nahoda, ze internet je taky odolny a utoky na DNS servery funguju len na lokalnom meritku, nie globalnom.
Windows (myslim, ten na PC) je udrziavany centralne, uzavrete jadro a nemam pocit, ze by sa nedal individualizovat. Open source je fajn, ale akonahle to do ruk zobrali vyrobcovia mobilov, tak to “OPEN” islo do muky. Cele to maju pod zamkom, a ked sa rozhodnu skoncit s podporou konkretneho modelu (co je v 90% po prvom roku predaja), mozes si ist piskat a ostane ti v rukach stale viac derave zariadenie. Az kym nekupis nove. A TO JE ZAMER. A ze vyrobcovia opravuju chyby skor, ako Google? Este som o takom pripade nepocul. Vzdy vychadzaju updaty na Nexusy ci teraz Pixel a zbytok trhu caka, kym to vyrobcovia implementuju do svojich firmwarov, na ktore Google uz nema dosah. Hovorime o JADRE systemu. Svoje nadstavby si mozu upravovat kolko chcu. Aj tak by som bol zato, aby kazdy model mal moznost verzie s cistym androidom, kde si nahram len to, co potrebujem, bez bloatwaru. O bezpecnosti internetu si povedal pekne veci, ale veeeeelmi idealisticke. Preco je net prespikovany malwarom, ransomwarom, phishingom a neviem akou este inou srackou. Sloboda ma aj svoje nevyhody a mala by ich kompenzovat zodpovednost. Lenze ludia su hlupy a v IT takmer nevzdelany. Ale vesele si behaju po minovom poli.
Z clanku:
> informuje vo svojej správe spoločnosť Apple.
Isto Apple? Nie nahodou Google?
Je to Apple, ten ako prvý vydal aktualizáciu so záplatou tejto chyby
ok, nebol som si isty, lebo ten clanok hovoril o Googli a zrazu z nicoho nic Apple tak ma to prekvapilo ;o)