Специалисты компании Rapid7, специализирующейся на информационной безопасности написали эксплойт, позволяющий взломать более 70% устройств на операционной системе Android. Причем, уязвимость обнаружили довольно давно – в конце 2012 года. Нашли ее в стандартном веб-браузере системы, а именно, в компоненте WebView. «Дыра» позволяла запустить на устройстве произвольный код.

Для того чтобы подхватить «заразу» достаточно всего лишь посетить вредоносный сайт. Как заставить пользователя это сделать – это уже «дело техники», и способов существует предостаточно. Исследователи наглядно это продемонстрировали при помощи закодированной в «безобидном» QR-коде вредоносной ссылки. Такой код любой пользователь может считать где угодно, ничего не подозревая.

Важным моментом в факте обнаружения уязвимости является то, что она присуща не только смартфонам и планшетам, а всем устройствам под управлением Android, в частности, Google Glass. Что касается последних, то ряд пользователь уже сообщили, что им удалось запустить эксплойт на смарт-очках от Google. Этот факт вызвал серьезную обеспокоенность именно по той причине, что смарт-очки по определению могут содержать массу фото- и видеоматериала, распространение которого было бы нежелательно  для пользователя, но о наличии которого он может даже не подозревать.

Уязвимость имеется во всех версиях ОС Android ниже 4.2., но опасности подвергается все равно большинство пользователей Google Glass и других устройств. Причиной тому, по мнению экспертов, является отсутствие централизованной схемы распространения обновлений, так, как это есть, допустим, у Microsoft Windows. Множество пользователей совершенно не задаются вопросом обновления платформы.

Google пыталась создать такой централизованный механизм еще в 2011 году, объявив о создании Android Upgrade Alliance. По замыслу разработчиков концепции, операторы связи должны были беспрекословно соблюдать регламент релиза новых прошивок в течение первых полутора лет после выхода гаджета в продажу. Тем не менее, инициатива оказалась провальной, и централизованного механизма обновлений не существует по сей день.

Одним из способов выхода из ситуации является периодический релиз обновленных версий приложений. Это позволяет устранять уязвимости в приложениях, но никак не влияет на «дыры» в самой операционной системе. Дополнительные проблемы появляются в связи с открытостью кода Android. Любой пользователь может как угодно модифицировать систему, и этот процесс никак не контролируется. В этом плане Apple в выигрыше – например, в сентябре 2013 года Apple легко устранила уязвимость парольной защиты в течение недели на всех устройствах.

Вероятно, данная ситуация – далеко не первые и не последние трудности, которые ждут Google Glass на рынке электронных устройств. Поэтому, вполне возможно, что программа Google Glass Explorer при всей своей коммерческой неоднозначности, окажется более чем осмысленным решением.

Обсудить на форуме