88 kockázatos sebezhetőség az Android Froyóban
A Google Android mobil operációs rendszer számos veszélyes szoftverhibát tartalmazhat, amik egy része alkalmas lehet visszaélésekre is - derül ki a Coverity elemzéséből. A hír elsőre ijesztő, de a felmérés kiemeli azt a tényt is, hogy sokkal kevesebb ilyen hiba került elő, mint amennyire számítottak az elemzők.
A Coverity 359 szoftveres hiányosságot tárt fel az Android Froyo kernelben, amit a HTC Droid Incredible okostelefonból mentett ki. Ezek közül a hiányosságok közül viszont csak 88 darab, azaz alig egynegyednyi bizonyult magas kockázatúnak, ami potenciális biztonsági rizikót jelenthet az Android felhasználóknak. Ez a szám a Coverity elemzése szerint egyáltalán nem olyan rossz, s nem tekinthető emiatt az Android gyenge biztonságú rendszernek a többi platformhoz képest, amiket a cég vizsgált. A Coverity egyébként egy kereskedelmi kódelemző cég, ami 2006 óta vizsgál mindenféle nyílt forrású szoftvereket hibák, hiányosságok után kutatva.
A Linuxos alap jó, a pluszok kevésbé
"Úgy találtuk, hogy az Android kernel a várható mértékhez és az iparági normákhoz képest csak fele annyi hibát tartalmaz" - mondta Andy Chou, a Coverity társalapítója. Az átlagos hibasűrűség az iparági tapasztalatokat figyelembe véve ezer kódsoronként 1 hiba, az Android esetében viszont ez a mutató 0,47, vagyis a Google mobil platformja az átlagnál biztonságosabb.
Machine recruiting: nem biztos, hogy szeretni fogod Az AI visszafordíthatatlanul beépült a toborzás folyamatába.
Az eredmény viszont jelentősen megváltozik, ha az Android eredményébőll kivesszük a Linux örökségként szerzett kódokat, amik már viszonylag stabilnak mondhatóak. Ha csak az Android-specifikus kódrészeket nézzük, akkor a fent említett arány azonnal 0,7-re ugrik, amire már nyugodtan rá lehet mondani, hogy bugos. A kernel linuxos részében is több változtatás történt, ami a Linux disztribúciókba nem lett visszavezetve. Ilyen például a "wakelocks" funkció, ami a mobilos energiamenedzsment képességeket biztosítja az Androidban.
Arra azonban az elemzést ismertető jelentés nem tér ki, hogy a feltárt hibák közül melyekhez készülhet exploit, a 88-ból mennyit lehet valós sebezhetőségként kihasználni arra, hogy kívülről bejussanak egy felhasználó mobiljába. A hibák többsége valamilyen memóriazavar, kezdőérték nélküli változó vagy forrásszivárgás, derül ki a jelentésből.
Egyelőre nincs ismert exploit
Ezek közül elméletileg lehetnek olyanok, amivel vissza lehet élni, de ezek meghatározásához egy biztonságtechnikai céget ajánl a Coverity. Az elemzőcég kapcsolatba lépett a Google-lel és a HTC-vel is, így mindkét cég a publikálás előtt értesült az eredményekről, s ha szükségesnek látják, akkor megteszik a kellő intézkedéseket, így a felhasználók továbbra is viszonylag biztonságban érezhetik magukat.