88 luk w Androidzie

Na temat tego, czy i które z tych luk można wykorzystać do włamania się do rdzenia systemu Android, firma mówi niewiele, nie znamy też odpowiedzi na pytanie, czy luki można wykorzystać jedynie lokalnie czy też zdalnie. Niemniej jednak np. Mozilla Foundation już od jakiegoś czasu dla zasady klasyfikuje wszelkie błędy typu Memory Corruption w Firefoksie jako krytyczne, ponieważ z ich pomocą można przemycić i uruchomić szkodliwy kod.

Coverity zamierza opublikować bliższe informacje o lukach dopiero za 60 dni. Do tej pory Google i inni producenci mają czas, aby zająć się ich załataniem. Byłby to pierwszy raz, kiedy upublicznione zostałyby informacje o błędach w Androidzie na wielką skalę. Google milczy na temat dziur w systemie, nie podaje także informacji, które błędy zostały naprawione w nowych wersjach.

Na założonych w tym celu około dwóch lat temu grupach Google Android Security Announcements i Android Security Discussions jedynie z rzadka pojawiają się nowe wpisy. Co chwilę jednak mamy do czynienia z powiadomieniami o lukach (np. w usłudze init), które z zasady mogą być używane jedynie do "rootowania" urządzenia.

Ostatnio o usterkach w Androidzie donosiła firma MWR. Wykorzystując błąd w silniku przeglądarki WebKit, urządzeniu można podsunąć szkodliwy kod. W ten sposób w testach udało się odczytać wszystkie nazwy użytkownika i hasła zapisane w przeglądarce. W tym celu według firmy MWR wystarczy odwiedzenie odpowiednio spreparowanej strony. Google usunął tę lukę w wersji 2.2 systemu (Froyo), lecz ta edycja wciąż nie jest dostępna dla wielu urządzeń i już nigdy nie będzie.

W celu wykrycia luk Coverity użyła zautomatyzowanych narzędzi; ogółem znaleziono 359 błędów. Wybór padł na HTC Incredible, ponieważ właśnie takie urządzenie miał jeden z pracowników przedsiębiorstwa. Ściślej rzecz ujmując, Coverity zbadała system dostosowany przez HTC, ale różne urządzenia z Androidem pod względem kernela różnią się jedynie sterownikami sprzętowymi.