Google подвергла сомнению масштабы бедствия, связанного с закрытой на этой неделе критической уязвимостью в Linux, и считает, что число затронутых ею Android-устройств сильно преувеличено.

ОС Android построена на ядре Linux, но не использует многие библиотеки, присутствующие в стандартных сборках Linux. Комментируя опасную уязвимость, представитель стартапа Perception Point отметил, что ей подвержены более двух третей устройств на Android. Данная брешь существовала в исходном коде Linux с 2012 года, ее эксплойт позволяет локальному пользователю повысить привилегии на Linux-сервере или на смартфоне Android, причем во втором случае можно обойтись вредоносным приложением.

Google со своей стороны выпустила соответствующий патч для Android и спустила его в open-source-сообщество и партнерам. Ведущий программист Google Эдриан Людвиг (Adrian Ludwig), отвечающий за безопасность Android, заявил, что патч должен быть в обязательном порядке роздан на все устройства к 1 марта или позднее. Тем не менее оценка Perception Point в отношении охвата данной уязвимости — 66% Android-устройств — показалась эксперту завышенной.

«Мы полагаем, что число затронутых Android-устройств значительно меньше, чем было доложено ранее», — заявил Людвиг, посетовав, что Perception Point не уведомила Google или ИБ-команду Android об уязвимости и приватно раскрыла ее лишь безопасникам Linux.

«Мы убеждены, что на Nexus-устройствах эксплойт посредством стороннего приложения невозможен, — продолжает эксперт. — Более того, устройства на Android 5.0 и выше защищены, поскольку политика SELinux запрещает доступ сторонних приложений к уязвимому коду. Также многие устройства, работающие на Android 4.4 и ниже, не содержат уязвимый код, привнесенный в ядро Linux с версией 3.8, так как более новые версии ядра редко встречаются на устаревших Android-устройствах».

Perception Point со своей стороны сделала для Threatpost следующее заявление:

«Как уже было сказано, данный баг затрагивает версии Android начиная с KitKat, и при этом неважно, включена на устройстве SELinux или нет. SELinux лишь ограничивает возможность эксплойта, и наши исследователи, как отмечено в блоге, уже работают над эксплуатацией Android-устройств с включенной SELinux. Результаты этого исследования будут опубликованы в следующей блог-записи. Nexus с новейшей версией снабжены кодифицированной функцией Keyring. Учитывая вышесказанное, мы настаиваем на своей оценке: данному багу подвержены около 66% Android-устройств».

Согласно статистике, отражаемой в консоли разработчиков Android-приложений, новейшие версии Android (Lollipop 5.0 и 5.1, Marshmallow 6.0) используют 33,3% устройств; 36,1% работают на Android 4.4 (KitKat) и 24,7% — на Jelly Bean (4.1, 4.2, 4.3). Duo Labs тем временем опубликовала отчет, из которого следует, что большинство Android-гаджетов безнадежно устарели и не используют элементарные средства защиты вроде входа по паролю. Каждое двадцатое Android-устройство, по данным Duo, разлочено (против 1 из 250 для iPhone), в девяти устройствах из десяти отключен режим шифрования.

Категории: Уязвимости