Szerző: Dojcsák Dániel

2010. november 2. 15:27

88 kockázatos sebezhetőség az Android Froyóban

A Google Android mobil operációs rendszer számos veszélyes szoftverhibát tartalmazhat, amik egy része alkalmas lehet visszaélésekre is - derül ki a Coverity elemzéséből. A hír elsőre ijesztő, de a felmérés kiemeli azt a tényt is, hogy sokkal kevesebb ilyen hiba került elő, mint amennyire számítottak az elemzők.

A Coverity 359 szoftveres hiányosságot tárt fel az Android Froyo kernelben, amit a HTC Droid Incredible okostelefonból mentett ki. Ezek közül a hiányosságok közül viszont csak 88 darab, azaz alig egynegyednyi bizonyult magas kockázatúnak, ami potenciális biztonsági rizikót jelenthet az Android felhasználóknak. Ez a szám a Coverity elemzése szerint egyáltalán nem olyan rossz, s nem tekinthető emiatt az Android gyenge biztonságú rendszernek a többi platformhoz képest, amiket a cég vizsgált. A Coverity egyébként egy kereskedelmi kódelemző cég, ami 2006 óta vizsgál mindenféle nyílt forrású szoftvereket hibák, hiányosságok után kutatva.

A Linuxos alap jó, a pluszok kevésbé

"Úgy találtuk, hogy az Android kernel a várható mértékhez és az iparági normákhoz képest csak fele annyi hibát tartalmaz" - mondta Andy Chou, a Coverity társalapítója. Az átlagos hibasűrűség az iparági tapasztalatokat figyelembe véve ezer kódsoronként 1 hiba, az Android esetében viszont ez a mutató 0,47, vagyis a Google mobil platformja az átlagnál biztonságosabb.

Toxikus vezetők szivárványa

Az IT munkakörülményeket, a munkahelyi kultúrát alapjaiban határozzák meg a vezetők, főleg ha még toxikusak is.

Toxikus vezetők szivárványa Az IT munkakörülményeket, a munkahelyi kultúrát alapjaiban határozzák meg a vezetők, főleg ha még toxikusak is.

Az eredmény viszont jelentősen megváltozik, ha az Android eredményébőll kivesszük a Linux örökségként szerzett kódokat, amik már viszonylag stabilnak mondhatóak. Ha csak az Android-specifikus kódrészeket nézzük, akkor a fent említett arány azonnal 0,7-re ugrik, amire már nyugodtan rá lehet mondani, hogy bugos. A kernel linuxos részében is több változtatás történt, ami a Linux disztribúciókba nem lett visszavezetve. Ilyen például a "wakelocks" funkció, ami a mobilos energiamenedzsment képességeket biztosítja az Androidban.

Arra azonban az elemzést ismertető jelentés nem tér ki, hogy a feltárt hibák közül melyekhez készülhet exploit, a 88-ból mennyit lehet valós sebezhetőségként kihasználni arra, hogy kívülről bejussanak egy felhasználó mobiljába. A hibák többsége valamilyen memóriazavar, kezdőérték nélküli változó vagy forrásszivárgás, derül ki a jelentésből.

Egyelőre nincs ismert exploit

Ezek közül elméletileg lehetnek olyanok, amivel vissza lehet élni, de ezek meghatározásához egy biztonságtechnikai céget ajánl a Coverity. Az elemzőcég kapcsolatba lépett a Google-lel és a HTC-vel is, így mindkét cég a publikálás előtt értesült az eredményekről, s ha szükségesnek látják, akkor megteszik a kellő intézkedéseket, így a felhasználók továbbra is viszonylag biztonságban érezhetik magukat.

Nagyon széles az a skála, amin az állásinterjú visszajelzések tartalmi minősége mozog: túl rövid, túl hosszú, semmitmondó, értelmetlen vagy semmi. A friss heti kraftie hírlevélben ezt jártuk körül. Ha tetszett a cikk, iratkozz fel, és minden héten elküldjük emailben a legfrissebbet!

a címlapról