A hónap elején járunk, ami a Google linuxalapú okostelefonos operációs rendszere, az Android számára a biztonsági frissítések időszakát jelenti. Ezeket a frissítéseket rendszerint a Google szokta kiadni elsőként saját telefonkaira (Nexus és újabban a Pixel), de vannak mások is, akik igazodva a Google-hez igazodva az azonnali javítás hívei. Mint például a BlackBerry.
A BlackBerry androidos telefonjai éppen a hét elején kapták meg a november 6-i patch szinttel ellátott frissítést, ami többek közt tartalmazza egy október 19-én nyilvánosságra hozott kritikus sebezhetőség foltozását is. A CVE-2016-5195 jelzésű sebezhetőség, vagy ahogy becézik, "Dirty Cow" egyébként 9 éve van (vagyis most már csak volt) jelen a Linux-kernelben, és minden, rá épülő eszközt sebezhetővé tett.
De miért éppen Dirty Cow? Azért, mert a CVE 2016-5195 a Linux rendszermag copy-on-write mechanizmusát érinti, ennek a rövidítéséből jött létre a Cow, vagyis magyarul tehén.
A szokásos módon, jogosultságnövelésre teret adó hiba felhasználói jogosultsággal rendelkező folyamatoknak adhat rendszergazdai jogosultságot (onnantól kezdve pedig kvázi teljhatalmat), androidos BlackBerryk esetén legrosszabb esetben az első újraindításig.
Ez a javítás a Google szerint egyébként más gyártók számára a decemberben kiadott patch szintbe kerülhet bele, és mindössze két cég okostelefonjai kapták meg eddig a tapaszt: Ez a két cég a BlackBerry és a Samsung (utóbbinál értelemszerűen nem minden modellre érhető el a patch).
Ha nem kaptad még meg a BlackBerrydre a novemberi biztonsági frissítést, ne ess pánikba! Az EMEA régióba tartozó androidos készülékek (még a szolgáltatófüggetlenek is) rendszerint egy hét késéssel kapják csak meg a patcheket.
Hó elején két dolog biztos, a fizetés, meg a PRIV biztonsági patch, bár belegondolva utóbbi még tán biztosabb is, ki milyen iparágban/munkakörben dolgozik ugyebár. A BlackBerry felsőkategóriás androidos telefonjára tegnap érkezett meg a Google szokásos havi biztonsági tapasza, ami ezúttal egy uszkve 21 megabájtos (de ettől még fél órán át települő) update-ben javítja ki azokat a sebezhetőségeket, melyeket a Google a múlt hónapban korrigált a mobilos operációs rendszerében.
Az AAE298-as verziószámot viselő update javítja azt a kritikus sebezhetőséget is, melyre egyébként már március 23-án megérkezett a hóközi frissítés - ám nem minden PRIV-re, csak azokra, melyeket közvetlenül a BlackBerrytől vásároltak a vevők. Az április eleji patch ezen felül még 28 sebezhetőségre nyújt tapaszt, melyek közül 7 kritikus, a többi alacsonyabb besorolású.
A legfrissebb biztonsági patcheket az Android Marshmallow publikus bétatesztben résztvevők is meg fogják kapni az aktuális tesztkiadással. Mármint azok, akik bebocsáttatást nyertek a bétaprogramba. Erről éppen tegnap adott ki részleteket a BlackBerry, és pár órán belül már be is telt minden hely - bár állítólag a következő hetekben bővülhet majd a kontingens.
A PRIV új szoftverében megjelent biztonsági javításokról itt olvashattok részletesebben.
Egyre inkább úgy tűnik, hogy a BlackBerry nem a levegőbe beszélt, amikor az Android biztonsági hibáinak a lehető leggyorsabb, rendszeres kijavítása mellett állt ki: a cég első androidos okostelefonja, a PRIV a mai nappal immár a harmadik biztonsági frissítést, ezzel együtt összesen a negyedik szoftverfrissítést kapja meg a tavaly őszi megjelenése óta. A frissítés gyorsaságát mi sem jelzi jobban, mint hogy a márciusi Android patch részletei még a Google hivatalos oldalán sincsenek kint, egyes Nexusokra pedig még el sem érhető a javítás, amikor a kártyafüggetlen PRIV-ekre már rég telepíthető.
A havi biztonsági frissítések kiadását a Google tavaly nyár óta veszi nagyon komolyan, néhány gyártóval karöltve, ám az eddigi tapasztalatok szerint az androidos mezőnyben új fiúnak számító BlackBerry ezen a téren mindenkit kenterbe ver. És ez még úgy is rendkívüli dolog, hogy a PRIV-et számos kritika érte azzal kapcsolatban, hogy nem az Android legfrissebb verziójával, az Android M-mel (vagyis a 6.0-val) került piacra. Gyorsan hozzáteszem: a főverziók és a biztonsági patchek teljesen elkülönülten kezelendők a Google szoftver-ökoszisztémáján belül, vagyis attól, hogy egy telefon mondjuk Android 5.1.1-et futtat, lehet sokkal biztonságosabb, mint egy biztonsági frissítések szempontjából elhanyagolt Android 6.0-s készülék.
A (biztonsági) frissítések szükségességét, illetve szerepét a fejlesztők is kiemelik, most éppen a HWSW-n olvashattok egy remek cikket Orosz Gábortól, ebből idéznék:
Látható, hogy frissítés szempontjából teljesen más filozófiát követ a két rendszer, még az Apple a big bang frissítésekben hisz, az Android esetében az OS fő verziók frissítések szerepe jelentősen kisebb, rengeteg apró modul él külön életet, és frissül magában. Viszont a biztonsági frissítések ügyét mindenképp rendbe kellene tenni, az alól nincs mentség.
Persze ez nem jelenti azt, hogy ne várnám az Android M frissítést a PRIV-re, hiszen lesznek benne hasznos új funkciók szép számmal, de addig is jó tudni, hogy a BlackBerry tartja magát az eredeti elképzeléshez, és Android-fronton igyekszik egy olyan eszközt (később eszközöket) a felhasználók kezébe adni, melyek a lehető legnagyobb védelmet biztosítják a szenzitív adatoknak.
A most kiadott frissítés mérete egyébként 17 MB, és az AAE016-os belső verziószámot viselő patch-ről szóló értesítés automatikusan megjelenik a telefonon. Aki nem szeretné ezt kivárni, manuálisan is rákereshet a frissítésre a PRIV menüjében, a készülékinformációk alatt.
A PRIV rendszerének márciusi frissítéséről ezen az oldalon közöl részletesebb információkat a BlackBerry.
Személyes adatokat, fotókat, videókat illetve más, személyes használatú digitális tartalmakat lehet levadászni a használtan áruba bocsátott okostelefonokról, még akkor is, ha a felhasználó az újraértékesítés előtt gondosan törölt mindent a készülék memóriájából -- hozzá ránk a frászt az egyik legismertebb antivírus-szoftver, az Avast készítői által kiadott tegnapi sajtóközlemény.
A fejlesztőcég mindezt egy tesztben igyekezett bizonyítani, amiben véletlenszerűen összevásároltak 20 darab használt okostelefont, amelyekről temérdek mennyiségű képet, e-mailt, SMS-t és névjegyet tudtak kibányászni olyan egyszerű eszközökkel, melyek mindenki számára elérhetők. Durva, mi? Lefogadom, hogy az ominózus használt készülékek közt egyetlen BlackBerry sem volt -- és nem azért, mert BlackBerryre egyébként nem érhető el az Avast mobilos terméke.
Hanem mert semmi szükség nincs rá. A BlackBerry OS, illetve a BB10 máig a világ legbiztonságosabbnak tartott mobilos operációs rendszere, és félreértés ne essék, ebben benne van az is, hogy a készüléken tárolt adatokat biztonságosan lehet törölni, ha már nincs rájuk szükség. Talán nem véletlen, hogy a BlackBerryk menüjében a gyári adatok visszaállítása funkciót szó szerint biztonsági törlésnek nevezik (és nem véletlen az sem, hogy egy iratmegsemmisítő az ikonja). Ha egyszer egy ilyen törlést ráeresztesz a BlackBerrydre, akkor a tudomány mai állása szerint nincs az az egyszeri halandók számára is elérhető módszer, amivel vissza lehet hozni a tartalmat.
Aki már csinált egyébként ilyen biztonsági adattörlést, annak bizonyára nem újdonság, hogy a művelet valami irgalmatlan hosszú ideig tart, akár egy órán keresztül is szüttyöghet a telefon, mire újra lehet használni. A hosszadalmas procedúrát megmagyarázhatja, hogy a készülék szoftvere ilyenkor a felhasználói memóriát (tehát azt a területet, ahol a felhasználói adatok, appok stb. találhatók) gyakorlatilag bitről bitre újraírja, nem egyszerű gyorsformázást hajt végre, mint más operációs rendszerek.
Hozzáteszem, semmilyen hasonló biztonsági funkció nem védi meg a felhasználót a saját (illetve cég esetében a rendszergazda) hülyeségétől, vagy nemtörődömségétől, szóval ezúton is arra biztatnék mindenkit, hogy ha eladósorba kerül a BlackBerryje, mielőtt kiadja a kezéből a készüléket, mindenképpen futtasson le egy biztonsági törlést...
Kösz a tippet Ádámnak!
Forrás: Avast