„Google“ neseniai pasmerkė „Samsung“ už „Linux“ branduolio kodų pakeitimą „Android“ platformoje, kad įrenginiai būtų dar saugesni.
Pagal „Google Zero Project“ komanda, keli išmaniųjų telefonų gamintojai žaidė su „Android“ platforma, kad įrenginiai būtų saugesni. Tačiau atlikdami šiuos ieškojimus, jie paliko įrenginius dar labiau paveikti saugumo grėsmių.
Keičiant DNR Linux branduolio kodai atvirojo kodo programinė įranga yra kažkas, kas nepatartina, o „Samsung“ tai padarė tik tam, kad sukurtų modifikuotus ir labai saugius mobiliuosius telefonus.
Tačiau šį „Samsung“ žingsnį „Google“ smarkiai kritikavo, nes tai keltų pavojų kelių milijonų vartotojų išmaniesiems telefonams.
„Samsung“ žingsnis kuriant mobiliuosius telefonus buvo skirtas mobiliųjų įrenginių tobulinimui, tačiau požiūris buvo tikrai naivus.
Pakeitus OS DNR atsirastų pažeidžiamumų
Ciuriche įsikūręs Jannas Hornas, kuriam tik 22 metai, dirbantis saugumo tyrėju „Google Project Zero“ komandoje, akimirksniu pakeitęs „Android“ DNR, aptiko keletą trūkumų.
Jann taip pat citavo vieną „Samsung Galaxy A50“ pavyzdį, kai nedidelis pakeitimas kuriant pasirinktines tvarkykles atvėrė tiesioginę prieigą prie branduolio. Nors tai buvo skirta padidinti įrenginio saugumą, dėl pakeitimo atsirado klaida, kuri sugadino įrenginio atmintį.
Taip pat skaitykite: „Google“ išspręs jūsų „Android“ užklausas tiesiogiai „Twitter“.
„Samsung“ šią atminties problemą išsprendė kaip paprastą problemą, kurią sudarė laisvo ir dvigubo naudojimo pažeidžiamumas įrenginiuose, kuriuose veikia „Android 9 Pie“. Tai paveikė įmonės procesų autentifikavimo saugos posistemį. Ši problema buvo išspręsta vėliau, vasario mėn., pataisius klaidą.
Jann Horn taip pat priduria, kad šie konkrečiam įrenginiui būdingi Linux branduolio pakeitimai OS DNR yra pažeidžiamumų šaltinis ir vadina juos „nereikalingais“. Tai paneigia „Google“ galimybę apsaugoti OS.
„Samsung“ gynėsi sakydama, kad vienas iš įrenginio pakeitimų buvo tik apriboti įsilaužėlį, kuris gavo prieigą prie jo „savavališkas skaitymas ir rašymas“ branduolio failas. Jann teigė, kad įsilaužėlis nebūtų galėjęs pasiekti šio taško, jei būtų geriau panaudoti inžineriniai ištekliai.
„Idealiu atveju visi paslaugų teikėjai turėtų pereiti prie dažno palaikomų priešpriešinių branduolių naudojimo ir atnaujinimo. Jann Horn užbaigė apeliacinį skundą.
Pakeitus išmaniųjų telefonų „Linux“ branduolio kodus, jie neabejotinai būtų apsaugoti nuo saugumo grėsmių, tokių kaip virusų atakos, įsilaužėlių atakos, nuotolinis įsilaužimas ir dar daugiau!
„Google“ pagrįstai nesutiko su šiuo naivu „Samsung“ žingsniu, kad įrenginiai būtų dar saugesni.