ช่องโหว่ของ Android ทำให้เกิดความรู้สึกเช่นเดียวกับการละเมิดข้อมูลขนาดใหญ่:เหตุการณ์ทั่วไปที่ฉันอาจพบว่าตัวเองเป็นส่วนหนึ่งของ อย่างน้อยเมื่อมีการรั่วไหลของข้อมูลจำนวนมาก ฉันมีโอกาสที่จะตัดบัญชีของฉันออกและทำลายบาดแผลของข้อมูล ด้วยข้อบกพร่องล่าสุดของ Android -- QuadRoot -- นี่ไม่ใช่ตัวเลือก
นี่ไม่ใช่ส่วนเล็ก ๆ เนื่องจากช่องโหว่ไม่ได้อยู่ที่ Android ทั้งหมด ไม่ อุปกรณ์ของคุณอาจถูกบุกรุกโดย Qualcomm ผู้ผลิตฮาร์ดแวร์รายใหญ่ของอเมริกา และความนิยมที่ได้รับการยกย่องในฐานะขุมพลังแห่งตัวเลือกสำหรับอุปกรณ์ Android นับไม่ถ้วนทั่วโลก
ข้อผิดพลาดนี้แตกต่างไปจากปกติเล็กน้อย ในกรณีที่ข้อบกพร่องของ Android มักส่งผลกระทบต่อผู้ผลิตเพียงรายเดียวหรือไม่กี่รายที่ใช้ชุดฮาร์ดแวร์เฉพาะ QuadRoot คาดว่าจะส่งผลกระทบต่อผู้ใช้ Android ประมาณ 900 ล้านคนทั่วโลก นั่นคือคุณ และฉัน และทุกๆ คนที่คุณเคยรัก
มาดูกันว่า QuadRoot คืออะไร มีความหมายกับคุณอย่างไร และใครก็ตามที่กำลังทำการแก้ไขอยู่จริงในโลกนี้
QuadRoot มีขนาดใหญ่
บางสิ่งที่ทำให้ QuadRoot แตกต่างจากบั๊ก Android อื่น ๆ ที่เราพบในช่วงไม่กี่ปีที่ผ่านมา สำหรับผู้เริ่มต้น Check Point ทีมวิจัยด้านความปลอดภัยที่ค้นพบข้อบกพร่องอธิบายว่า:
"QuadRooter เป็นชุดของช่องโหว่สี่ประการที่ส่งผลต่ออุปกรณ์ Android ที่สร้างขึ้นโดยใช้ชิปเซ็ต Qualcomm Qualcomm เป็นผู้ออกแบบชิปเซ็ต LTE ชั้นนำของโลกโดยมีส่วนแบ่งตลาดเบสแบนด์โมเด็ม LTE 65% หากช่องโหว่ใดช่องโหว่หนึ่งในสี่ช่องโหว่ผู้โจมตีสามารถ ทริกเกอร์การยกระดับสิทธิ์เพื่อวัตถุประสงค์ในการเข้าถึงรูทอุปกรณ์"
โดยระบุช่องโหว่ด้านความปลอดภัยสี่รายการดังนี้:
- CVE-2016-2503 ค้นพบในไดรเวอร์ GPU ของ Qualcomm และได้รับการแก้ไขใน Android Security Bulletin ของ Google ในเดือนกรกฎาคม 2016
- พบ CVE-2016-2504 ในไดรเวอร์ Qualcomm GPU และแก้ไขใน Android Security Bulletin ของ Google ในเดือนสิงหาคม 2016
- พบ CVE-2016-2059 ในโมดูลเคอร์เนลของ Qualcomm และแก้ไขในเดือนเมษายน แม้ว่าจะไม่ทราบสถานะแพตช์
- CVE-2016-5340 นำเสนอในไดรเวอร์ Qualcomm GPU และแก้ไขแล้ว แต่ไม่ทราบสถานะแพตช์
อุปกรณ์ของฉันมีช่องโหว่หรือไม่
เนื่องจาก Qualcomm เป็นผู้ออกแบบและผู้ผลิตชิปเซ็ต LTE (Long Term Evolution) ชั้นนำของโลก ซึ่งควบคุมตลาดโมเด็มเบสแบนด์ LTE ประมาณ 65% จึงมีโอกาสสำคัญที่อุปกรณ์ของคุณจะถูกเปิดเผย คุณสามารถตรวจสอบว่าอุปกรณ์ของคุณมีช่องโหว่หรือไม่โดยใช้ QuadRooter Scanner [ไม่มีให้ใช้งานอีกต่อไป] ซึ่งพัฒนาและเผยแพร่โดย Check Point (ผู้ที่พบช่องโหว่) ฉันมี OnePlus One:
เป็นช่วงเวลาที่น่าเศร้าสำหรับฉันจริงๆ
ฉันน่าจะโดนเอาเปรียบไหม
Check Point ขอแนะนำว่าค่อนข้างง่ายที่จะเปิดเผยอุปกรณ์ที่มีช่องโหว่เหล่านี้
"ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่เหล่านี้โดยใช้แอปที่เป็นอันตราย แอปดังกล่าวไม่จำเป็นต้องมีการอนุญาตพิเศษเพื่อใช้ประโยชน์จากช่องโหว่เหล่านี้ บรรเทาความสงสัยที่ผู้ใช้อาจมีเมื่อทำการติดตั้ง"
นี่ไม่ใช่ข้อบกพร่องที่ได้รับการแนะนำโดยการอัปเดตเฟิร์มแวร์ มีช่องโหว่เมื่ออุปกรณ์ของคุณจัดส่ง ข้อบกพร่องที่พบในไดรเวอร์ซอฟต์แวร์ซึ่งควบคุมการสื่อสารระหว่างส่วนประกอบชิปเซ็ต สามารถแก้ไขได้ตามความเป็นจริงโดยผู้ผลิตอุปกรณ์ผ่านการอัปเดต OTA เท่านั้น
QuadRoot ต่างจากบั๊ก Stagefright ของปีที่แล้ว จริง ๆ แล้วต้องมีการติดตั้งแอพที่เป็นอันตราย ซึ่งน่าจะเป็นไปได้หลังจากเปิดใช้งานการติดตั้งแอพจาก "Unknown Sources" นอกจากนี้ และตามที่ Google ได้ระบุไว้ในแถลงการณ์ (ซึ่งคุณสามารถอ่านได้ในส่วนต่อไปนี้) คุณลักษณะ "ตรวจสอบแอป" ของ Android ได้รับการออกแบบมาเพื่อป้องกันช่องโหว่ประเภทนี้ ฟีเจอร์นี้มาพร้อมกับ Android 4.2 Jelly Bean และกว่า 90% ของอุปกรณ์ Android ทั้งหมดใช้เวอร์ชันนี้หรือใหม่กว่า และ ว่าจุดบกพร่องนี้มีผลกับชิปเซ็ตดังกล่าวเท่านั้น - ฉันคิดว่าทุกอย่างจะโอเค
เกิดอะไรขึ้นตอนนี้
ในฐานะบริษัทวิจัยด้านความปลอดภัยระดับมืออาชีพ Check Point ได้แจ้ง Qualcomm ถึงช่องโหว่เมื่อหลายเดือนก่อน ด้วยเหตุนี้ พวกเขาจึงได้ผลิตแพตช์ชิปเซ็ตที่เปิดตัวให้กับผู้ผลิตอุปกรณ์ของคุณแล้ว ตอนนี้ลูกบอลอยู่ในคอร์ทอย่างแน่นหนา
ผู้ผลิตอุปกรณ์ยอดนิยมจำนวนหนึ่งได้ดำเนินการเพื่อสร้างความมั่นใจให้กับฐานผู้ใช้แล้ว ในกรณีหนึ่ง การแก้ไขได้เปิดตัวไปแล้ว นี่คือผู้ผลิตรายใหญ่บางรายและสถานะปัจจุบันของพวกเขา [Broken URL Removed]
Google ได้ดำเนินการอย่างรวดเร็วเพื่อปกป้องผู้ใช้
"อุปกรณ์ Android ที่มีระดับแพตช์ความปลอดภัยล่าสุดของเราได้รับการปกป้องจากช่องโหว่สี่ช่องโหว่นี้แล้ว ช่องโหว่ที่สี่ CVE-2016-5340 จะได้รับการแก้ไขในกระดานข่าวความปลอดภัยของ Android ที่กำลังจะมีขึ้น แม้ว่าพันธมิตร Android สามารถดำเนินการได้เร็วกว่าโดยการอ้างอิง แพตช์สาธารณะที่ Qualcomm จัดให้"
ในฐานะนักพัฒนาหลักที่อยู่เบื้องหลัง Android Google ก็กระตือรือร้นที่จะเน้นย้ำมาตรการความปลอดภัยอื่นๆ ที่มีอยู่แล้วสำหรับอุปกรณ์ Android
"การตรวจสอบแอปและการป้องกัน SafetyNet ของเราช่วยระบุ บล็อก และนำแอปพลิเคชันที่ใช้ประโยชน์จากช่องโหว่เหล่านี้ออก"
อุปกรณ์ยอดนิยม: Nexus 5X, Nexus 6, Nexus 6P
Blackberry
ดังที่ได้กล่าวไว้ข้างต้น ผู้ผลิตรายหนึ่งได้เปิดตัวการแก้ไขให้กับผู้ใช้แล้ว ความรุ่งโรจน์และคำชมเชยจากผู้ผลิตโทรศัพท์มือถือ Blackberry
“ช่องโหว่สามในสี่ได้รับการแก้ไขแล้วในอุปกรณ์ PRIV ด้วยแพตช์ August Marshmallow และอุปกรณ์ DTEK50 ทั้งหมด นอกจากนี้ ห่วงโซ่การบูตที่ปลอดภัยที่มีอยู่ในอุปกรณ์ BlackBerry ทั้งหมดช่วยลดปัญหาที่เหลือโดยธรรมชาติ เราไม่ทราบถึงช่องโหว่ใด ๆ สำหรับช่องโหว่นี้ในธรรมชาติ และเราไม่คิดว่าลูกค้ารายใดกำลังตกอยู่ในความเสี่ยงจากปัญหานี้"
อุปกรณ์ยอดนิยม: Blackberry Priv
โซนี่
Sony กำลังทำงานเพื่อให้แพทช์พร้อมใช้งานสำหรับอุปกรณ์ Qualcomm
“Sony Mobile ให้ความสำคัญกับความปลอดภัยและความเป็นส่วนตัวของข้อมูลลูกค้าเป็นอย่างมาก เราตระหนักถึงช่องโหว่ของ 'QuadRooter' และกำลังดำเนินการเพื่อให้แพทช์ความปลอดภัยพร้อมใช้งานภายในการบำรุงรักษาซอฟต์แวร์ปกติและปกติ ทั้งโดยตรงไปยังอุปกรณ์เปิดตลาดและผ่านทางของเรา พันธมิตรผู้ให้บริการ ดังนั้นเวลาอาจแตกต่างกันไปตามภูมิภาคและ/หรือผู้ให้บริการ"
อุปกรณ์ยอดนิยม: Sony Xperia Z Ultra
โมโตโรล่า
Motorola เป็นผู้ผลิตรายอื่นที่สามารถให้ข่าวดีได้
"เมื่อเร็ว ๆ นี้ช่องโหว่ด้านความปลอดภัยที่อาจเกิดขึ้น Quadrooter ถูกค้นพบในอุปกรณ์ Android บางรุ่น ช่องโหว่ที่อาจเกิดขึ้นนี้สามารถใช้ประโยชน์ได้ก็ต่อเมื่อผู้ใช้ปิดใช้งานมาตรการรักษาความปลอดภัย Android ในตัวและดาวน์โหลดแอปพลิเคชันที่เป็นอันตราย สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการตรวจสอบให้แน่ใจว่าสิ่งนี้ถูกปิดใช้งาน ลิงก์มีประโยชน์สำหรับผู้บริโภค"
อุปกรณ์ยอดนิยม: Moto X
เอชทีซี
HTC ค่อนข้างเงียบเกี่ยวกับ QuadRoot เนื่องจากมีอุปกรณ์อย่างน้อย 2 เครื่องที่เสี่ยงต่อการถูกเปิดเผย
"HTC ให้ความสำคัญกับความปลอดภัยของลูกค้าเป็นอย่างมาก เรารับทราบรายงานเหล่านี้และกำลังตรวจสอบอยู่"
อุปกรณ์ยอดนิยม: HTC 10, HTC One M9
OnePlus
OnePlus ได้วางแผนที่จะรวมการอัปเดต QuadRoot ในแพตช์หน้า
"ความปลอดภัยมีความสำคัญสูงสุดสำหรับ OnePlus แพตช์ความปลอดภัยที่เกี่ยวข้องจะรวมอยู่ใน OTA ถัดไป (การอัปเดต Over The Air) สำหรับอุปกรณ์ OnePlus ทั้งหมด"
ซัมซุง
ยังไม่มีแถลงการณ์อย่างเป็นทางการจาก Samsung
อุปกรณ์ยอดนิยม: Galaxy S7, Galaxy S7 Edge
LG
อีกครั้งยังไม่มีแถลงการณ์อย่างเป็นทางการจาก LG
อุปกรณ์ยอดนิยม: LG G5, LG G4, LG V10
หมดเวลากังวลหรือยัง
เช่นเดียวกับช่องโหว่ด้านความปลอดภัยส่วนใหญ่ คุณต้องระมัดระวังตัวอยู่เสมอ ช่องโหว่เหล่านี้มีอยู่ แต่หากคุณไม่ดาวน์โหลดแอปที่มีโค้ดอันตรายที่เกี่ยวข้อง คุณก็ไม่น่าจะพบว่าอุปกรณ์ของคุณถูกบุกรุก
Google Play Store มีแอปพลิเคชันหลายล้านรายการ แอพที่มีโค้ดอันตรายที่ออกแบบมาเพื่อใช้ประโยชน์จากบั๊กเหล่านี้อาจเป็นใครก็ได้ เช่นนี้ พึงระลึกไว้เสมอ. ตรวจสอบความคิดเห็น ตรวจสอบข้อมูลผู้พัฒนาและผู้เผยแพร่ข้าม ดูตัวเลขการดาวน์โหลด พิจารณากลโกงทั่วไป. อย่าดาวน์โหลดแอปไร้สาระที่เสนอให้เปลี่ยนโทรศัพท์ของคุณเป็นอย่างอื่นที่ไม่ใช่
คุณควรจัดการเพื่อหลบเลี่ยงผู้มุ่งร้ายที่อาจเกิดขึ้นก่อนที่ผู้ผลิตอุปกรณ์ของคุณจะเผยแพร่แพตช์เพื่อยกระดับความปลอดภัยของคุณ อย่างไรก็ตาม ข้อบกพร่องล่าสุดนี้เน้นย้ำถึงความเสี่ยงที่มีอยู่ตลอดรูปแบบความปลอดภัยของ Android อีกครั้ง แพตช์ความปลอดภัย Android ที่สำคัญต่างจาก Apple ที่สามารถพัฒนาแพตช์และเปิดตัวให้กับผู้ใช้หลายร้อยล้านคนได้อย่างง่ายดาย แพตช์ความปลอดภัยของ Android ที่สำคัญต้องส่งผ่านห่วงโซ่อุปทานทั้งหมดของผู้ผลิตแต่ละรายก่อนที่จะเข้าถึงผู้ใช้ที่ออกแบบมาเพื่อช่วยเหลือ
ฉันรัก Android และจะใช้มันต่อไปโดยเด็ดขาด แต่ในฐานะผู้ใช้ คุณต้องระมัดระวังตัว
กังวลเกี่ยวกับ QuadRoot หรือไม่? จำนวนช่องโหว่ของ Android ทำให้คุณพิจารณาแพลตฟอร์มใหม่หรือไม่ แจ้งให้เราทราบความคิดเห็นของคุณด้านล่าง!