מזה זמן מה, חששות האבטחה בפלטפורמת מערכת ההפעלה אנדרואיד מטרידים משתמשים רבים. יש לומר כי גוגל מיהרה לצאת עם תיקונים למיתון החשיפה באמצעות גרסאות מערכת ההפעלה שלה של Kit Kat ו- Lollipop. עם זאת, נראה כי מפתחי וירוסים זדוניים ונוכלים עסוקים במיוחד ומקדימים את העקומה בכל עת וזה אומר שגוגל צריכה להיות פרואקטיבית עם תיקוני האבטחה שלה יותר מאי פעם.
גוגל עשתה מאמצים לחזק אותה באמצעות זרם קבוע של עדכונים. מערכת ההפעלה Kit Kat 4.4 ו- Lollipop הביאה תכונות אבטחה נוספות כמו הצפנה ועדכון מערכת ההפעלה האחרונה של Marshmallow מבטיח גם אבטחה טובה יותר למשתמשים.
עדכונים אינם מורידים בזמן בכל עת
עם זאת, כל העדכונים הללו, אשר שוחררו מעת לעת, אינם מוצאים את דרכם לטלפונים של משתמשים מכיוון שלא רבים דרוכים או פעילים מספיק להורדת העדכונים. חלק מהמשתמשים בטלפוני Nexus ברי מזל מספיק לקבל עדכונים מדי חודש, וכמה יצרני יצרן גדולים אחרים מציגים עדכונים באופן קבוע, אך רבים אחרים די איטיים. זה מוביל לכך שמשתמשים שלהם מפספסים עדכונים כאלה ולכן הם פגיעים להתקפות של תוכנות זדוניות.
לא ניתן להדגיש יתר על המידה את החשיבות של עדכוני אבטחה מכיוון שפגמים ממשיכים להופיע במערכת ההפעלה של Android. אלה יכולים לנצל בקלות על ידי האקרים כדי לגנוב נתונים פרטיים. משתמשים גם נרגשים מכך שהם צריכים להיות תמיד בשמירה ולהוריד עדכונים בזמן כדי להיות מסוגלים להשיג אבטחה מוחלטת עבור המכשירים שלהם.
פגמים עיקריים הגורמים לדאגה ופגיעות
המדאיג ביותר שזוהה כ- CVE-2015-6636 וקיבל דירוג קריטי מאפשר להאקר לבצע קודים במכשירים ממיקום מרוחק. הוא יכול באמצעים כמו דוא"ל, MMS וגלישה באינטרנט לבצע את הקודים האלה ולהתקין את התוכנה הזדונית שהוא רוצה. התוכנה הזדונית תמשיך להשתלט על הקבצים, כמו גם על שיחות המשתמש. גוגל אישרה כי היא התמודדה עם האיום הזה בצורה מספקת.
הרעיון של תיקון קבוע ומשתמשים מורידים בזמן נשארים המפתח לטיפול בבעיות כאלה ביעילות. בנוסף, התיקון שמשתחרר צריך לעבוד בצורה מושלמת ולא יכול להיות מקום לטעות כלשהי. התיקון שפרסמה גוגל לפגיעות Stagefright משך תשומת לב שלילית כאשר משתמשים רבים אמרו שהוא לא עובד כמו שצריך וגוגל נאלצה לשלוח תיקון מתוקן.
גוגל אומרת שהיא תעדכן את המשתמשים לגבי עדכוני אבטחה בזמן
גוגל שמה לב לרציפות האבטחה וכעת הודיעה שהיא נקטה בנושא עם שותפיה. העדכונים מעתה וחדשות אודות תיקוני קוד המקור יהיו ידועים למשתמשים ברגע שהם ישוחררו לפרויקט הקוד הפתוח AOSP או Android.
על המשתמש לוודא שהוא מוריד את עדכון האבטחה ברגע שיש אינטימיות לגביו. הרבה תלוי גם ביצרן המכשיר שבו אתה משתמש וכאן מתרחשות פסיכולוגים מדי פעם. אם גוגל יכולה להרשים את יצרני השותפים שלה להיות חרוצים לגבי תיקוני אבטחה ולהפוך אותם לזמינים למשתמשים בזמן, הסיכוי שהתוכנה הזדונית זוחלת למכשיר שלך יפחת משמעותית.
קבוצה חדשה של תיקוני אבטחה עבור Nexus, פיתוח חשוב
לאור זה שחרור חבילת תיקונים חדשה למכשירים החכמים של נקסוס מקבל חשיבות. התיקונים הללו מכוונים לטפל בפגמים שאפשרו לתוקפים למקד למכשירים באמצעות מיילים נוכלים, הודעות MMS ואפילו דרך דפי אינטרנט.
התיקונים עבור ה- Nexus מועברים באמצעות עדכוני הקושחה OTA ואלה יתווספו גם במהירות ל- AOSP או לפרויקט הקוד הפתוח של Android. למרשמלו של אנדרואיד יהיו גם התיקונים האלה.
עדכונים מטפלים ב -5 נקודות תורפה עיקריות הנחשבות קריטיות
עדכונים אלה התגלגלו כדי לטפל בחמש הפגיעות המובילות שנחשבו קריטיות בנוסף ל -5 אחרים המדורגים גבוה ועוד 12 כמתונים. היו ליקויים רבים שהיו טמונים ביחידת עיבוד המדיה של מערכת ההפעלה הקשורה להפעלת אודיו ווידאו ולניתוח מטא נתונים.
פגיעות קריטית כזו קשורה לשרת המדיה, שהוא ליבת מערכת ההפעלה ויכול להיחשף לניצול של האקרים לצורך ביצוע קודים שרירותיים. לקודים אלה היו הרשאות מוסוות שבדרך כלל לא יהיו לאפליקציות צד שלישי. לכן תוקפים יכולים לנצל את הפגמים הללו כדי להערים על המשתמשים ולהפעיל כמה קבצי מדיה שאחרת הם לא היו מנגנים.
ראוי להזכיר כאן כי גוגל ביטלה גם את הניתוח של הודעות המולטימדיה שהתרחשו בעבר באופן אוטומטי בתוך ה- Hangouts של גוגל וגם במסנג'ר.
שלוש הפגיעות שיכולות להוביל לביצוע קודים באמצעות גלישה באינטרנט, דוא"ל או MMS תוקנו גם בגרפיקה של Skia. האחרונה שתוקנה במהדורה זו עוסקת בפגם הקשור בהסלמת הרשאות בתוך ליבת אנדרואיד. זה המאפשר השתרשות המכשיר, אך אם המשתמש לא יודע כיצד לנהל אותו והוא נגמר בידי התוקפים, הם יכולים לשחק הרס עם מערכת ההפעלה.
גוגל ממליצה למשתמשים לעדכן במהירות
ישנם פגמי הסלמה אחרים הקשורים לפריבילגיות שתוקנו גם הם. עם זאת, גוגל מציעה למשתמשים לעדכן באופן מיידי או במהירות האפשרית למערכת ההפעלה האחרונה, כך שיש סיכויים נמוכים יותר לזחילה של תוכנות זדוניות למכשירים. הגרסאות האחרונות של מערכת ההפעלה הן הרבה יותר חזקות ויכולות למנוע התקפות של תוכנות זדוניות. ל- Google יש גם את Verify Apps ו- SafetyNet לחסימת יישומים מזיקים.