Mellékleteink: HUP | Gamekapocs
Keres

88 kockázatos sebezhetőség az Android Froyóban

Dojcsák Dániel, 2010. november 02. 15:27
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

A Google Android mobil operációs rendszer számos veszélyes szoftverhibát tartalmazhat, amik egy része alkalmas lehet visszaélésekre is - derül ki a Coverity elemzéséből. A hír elsőre ijesztő, de a felmérés kiemeli azt a tényt is, hogy sokkal kevesebb ilyen hiba került elő, mint amennyire számítottak az elemzők.

A Coverity 359 szoftveres hiányosságot tárt fel az Android Froyo kernelben, amit a HTC Droid Incredible okostelefonból mentett ki. Ezek közül a hiányosságok közül viszont csak 88 darab, azaz alig egynegyednyi bizonyult magas kockázatúnak, ami potenciális biztonsági rizikót jelenthet az Android felhasználóknak. Ez a szám a Coverity elemzése szerint egyáltalán nem olyan rossz, s nem tekinthető emiatt az Android gyenge biztonságú rendszernek a többi platformhoz képest, amiket a cég vizsgált. A Coverity egyébként egy kereskedelmi kódelemző cég, ami 2006 óta vizsgál mindenféle nyílt forrású szoftvereket hibák, hiányosságok után kutatva.

A Linuxos alap jó, a pluszok kevésbé

"Úgy találtuk, hogy az Android kernel a várható mértékhez és az iparági normákhoz képest csak fele annyi hibát tartalmaz" - mondta Andy Chou, a Coverity társalapítója. Az átlagos hibasűrűség az iparági tapasztalatokat figyelembe véve ezer kódsoronként 1 hiba, az Android esetében viszont ez a mutató 0,47, vagyis a Google mobil platformja az átlagnál biztonságosabb.

Az eredmény viszont jelentősen megváltozik, ha az Android eredményébőll kivesszük a Linux örökségként szerzett kódokat, amik már viszonylag stabilnak mondhatóak. Ha csak az Android-specifikus kódrészeket nézzük, akkor a fent említett arány azonnal 0,7-re ugrik, amire már nyugodtan rá lehet mondani, hogy bugos. A kernel linuxos részében is több változtatás történt, ami a Linux disztribúciókba nem lett visszavezetve. Ilyen például a "wakelocks" funkció, ami a mobilos energiamenedzsment képességeket biztosítja az Androidban.

Arra azonban az elemzést ismertető jelentés nem tér ki, hogy a feltárt hibák közül melyekhez készülhet exploit, a 88-ból mennyit lehet valós sebezhetőségként kihasználni arra, hogy kívülről bejussanak egy felhasználó mobiljába. A hibák többsége valamilyen memóriazavar, kezdőérték nélküli változó vagy forrásszivárgás, derül ki a jelentésből.

Egyelőre nincs ismert exploit

Ezek közül elméletileg lehetnek olyanok, amivel vissza lehet élni, de ezek meghatározásához egy biztonságtechnikai céget ajánl a Coverity. Az elemzőcég kapcsolatba lépett a Google-lel és a HTC-vel is, így mindkét cég a publikálás előtt értesült az eredményekről, s ha szükségesnek látják, akkor megteszik a kellő intézkedéseket, így a felhasználók továbbra is viszonylag biztonságban érezhetik magukat.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.