Google і Microsoft міряються багами
Після того як Google повідомила про серйозну уразливість в Windows, не менш істотний баг знайшли і в старих версіях Android. Ця вразливість піддає загрозі злому 60% користувачів мобільної операційної системи від Google.
Конфлікти між IT-гігантами стали вже звичним явищем, причому переможеною стороною в протистоянні технологічних корпорацій нерідко стають самі користувачі.
Користувачі Windows потрапили під ризик стати жертвами хакерів після того, як в блозі Google Project Zero, присвяченому інформаційної безпеки, з’явилася інформація про незакриття уразливості в операційній системі від Microsoft. У відповідь на це глава Microsoft з безпеки Кріс Бец заявив, що рішення Google публікувати свою знахідку до того, як для усунення уразливості в Windows 8.1 вийде патч, говорить не стільки про засади компанії, скільки про бажання нашкодити конкурентам.
До випуску патча в момент публікації Project Zero залишалося всього два дні.
За словами старшого антивірусного аналітика «Лабораторії Касперського» Антона Іванова, вразливість для Windows 8.1 досить серйозна, оскільки вона дозволяє обійти UAC (User Account Control). Обхід цього захисного механізму Windows збільшує шанси у шкідливого софту залишитися непоміченим в системі.
Мовчати про «діри» в ЗА до тих пір, поки вони не будуть усунені, було гарною ідеєю, додав Бец. Якщо повідомляти про них заздалегідь, то це може принести користувачам тільки шкоду, піддавши їх ризику зломів. Крім того, це тільки підганяє компанії до випуску оновлень, хоча процес підготовки добре працюють патчів — досить тривалий.
Project Zero публічно не повідомляли про виявленої уразливості 90 днів (її знайшли ще 13 жовтня), тому представники компанії цілком могли залишити свою знахідку в таємниці і трохи довше.
«Ми попросили Google співпрацювати з нами для захисту користувачів і затримати публікацію цих даних до вівторка 13 січня, коли ми плануємо випустити патч», — підкреслив Кріс Бец.
На наступний же день після публікації повідомлення про уразливості Windows аналітик дослідницької компанії Rapid7 Тод Бірдслі заявив про серйозне ба в компоненті WebView операційної системи Android 4.3 і більш ранніх її версій. WebView — це частина ПЗ, яке дозволяє переглядати веб-сторінки, не запускаючи для цього окремий додаток.
Уразливості в браузері Android представляють досить серйозну загрозу для користувачів, зазначає антивірусний експерт «Лабораторії Касперського» Віктор Чебышев. Наслідками атаки на браузер можуть стати крадіжка персональної інформації (наприклад, даних банківських карт), встановлення шкідливих програм, які будуть шпигувати за пристроєм і здійснювати інші шкідливі операції. На сьогоднішній день «Лабораторія Касперського» не зафіксувала жодного випадку масового атак подібного роду, так як автори вірусів в основному користуються методами соціальної інженерії для поширення мобільного шкідливого ПЗ, але в майбутньому ситуація може змінитися.
Android 4.3 — не нова версія операційної системи, вона вийшла ще в 2013 році, але 60% користувачів Android (а це майже мільярд осіб) досі використовують її або більш старі версії ОС. Уразливість WebView може дати хакерам доступ до всіх цих людей.
При цьому Google не зможе вирішити цю проблему: як повідомили Бигсли в компанії, Google розробляє самостійно патчі для версій Android старше 4.4, вони зможуть лише схвалити надійшов до них патч для усунення цієї уразливості і повідомити про неї виробникам пристроїв.
«Поточна модель розповсюдження ОС Android серед виробників мобільних пристроїв не передбачає єдиної точки зберігання патчів для операційної системи. Більш того, сама система побудована таким чином, що користувач не може «накотити» патч самостійно», — пояснив Віктор Чебышев .
Користувачі змушені чекати оновлення всієї прошивки від виробника пристрою, а вони не поспішають випускати такі прошивки, так як вигідніше для них просто випустити новий пристрій. Ситуація, при якій виробник випустить свіжий Android 5 для пристрою, яке з’явилося кілька років тому, малоймовірна.