Nowe BlackBerry jednak nie do końca bezpieczne

Adrian Wilczek
Adrian Wilczek
09.08.2016

Pracownicy z firmy Checkpoint, zajmującą się branżą IT, natknęli się na luki w oprogramowaniu systemu Android, które są na tyle poważne, by hakerzy mogli przejąć kontrolę nad urządzeniem użytkownika. Znalezione błędy, a dokładniej cztery mogą zostać wykorzystane do przejęcia w pełni kontroli nad smartfonem czy tabletem, uzyskując przy tym dostęp do wszystkich danych o użytkowniku jakie znajdują się w pamięci urządzenia.

Quadrootter, czyli luki, jakie zostały przedstawione na Def Con 24 przez Adama Donenfelda donoszą o czterech lukach w urządzeniach na Androidzie, które korzystają z chipsetu Qualcomma. Sytuacja jest na tyle poważna tym bardziej, że nie są to zwykłe błędy. Narażają one sterowniki systemowe, które przeważnie są instalowane jeszcze w fabryce i nie będzie prosto ich dostarczyć do potencjalnie zarażonych smartfonów.

Jak to zwykle bywa, łatki mogą zostać zaimplementowane jedynie przez aktualizację oprogramowania przez producentów, a znając życie czas, w jakim wszystkie urządzenia zostaną zaktualizowane, może trwać nawet do trzech czy czterech miesięcy. Aktualnie lista zagrożonych urządzeń to BlackBerry Priv i DTek, Blackphone 1 i 2, Nexus 5x, 6 i 6P, HTC One, M9 i 10, LG G4, G5 i V10, Lenovo Moto X, OnePlus One, 2 i 3, Samsung Galaxy S7 i S7 Edge (wersja USA) i Sony Xperia Z Ultra.

Prawdopodobnie nie ma jeszcze żadnych przesłanek o wykorzystaniu tych luk przez hackerów, ale nie wykluczone jest, że w okresie oczekiwania na aktualizacje zabezpieczeń dojdzie do złamania wyżej wymienionych smartfonów.

Checkpoint z myślą o tych użytkownikach stworzył aplikację QuadRooter Scanner, która pozwoli sprawdzić czy telefon zawiera przedstawione błędy oraz czy aktualizacje zostały już pobrane na urządzenie. Aplikację możecie pobrać ze Sklepu Google Play oraz z tego odnośnika.

źródło: checkpoint
  • Tyran1918

    Alcatel Idol 4 bezpieczny?
    BlackBerry obiecywało, że stworzą modele z Androidem jeśli będą potrafili zapewnić im bezpieczeństwo. Jak widać modele powstały a BB chwali się jedynie tym, że są najbezpieczniejszymi modelami z Androidem, a nie że są bezpieczne.

    • Adrian Wilczek

      Exactly

    • Dokładnie, nie bez powodu wydają co miesiąc łatki- jakby nie było zagrożeń to nie mieliby co łatać 😛
      PS. BB10 też były wyposażone w SoC Qualcomma 😉

      • Tyran1918

        No tak ale to był inny system, z którym problemów w tej kwestii nie było, a w Androidzie BB niczego szczególnego nie zrobiło jak widać.

      • Adrian Wilczek

        tutaj bardziej chodzi o SoC z rodziny 800(800, 808, 810, 820) i 617 z tego co wynika po spec z gsmarena

        • Tyran1918

          To Passport łapie się 😉

          • LinekPark

            Jak ma android run time od andka 4.2 lub nowszy, to nic mu nie grozi.

          • aastelix

            Czytam chyba 10 wiadomość i w każdej Ty piszesz to samo do kogoś innego. Wyluzuj już.
            My nie jesteśmy tępi.

          • LinekPark

            Robię tak, by nie trzeba było wejść w dyskusję, tylko każdy na mailu lub stronie disqusa już widział. Szanuję swój czas i innych, a jak kogos zainterere, to i tak wejdzie i nabije wyświetlenia.
            Tak więc spokojnie, bo nie mam nikogo za tępaka. ;

          • aastelix

            No dobra. Niech będzie.

          • Tyran1918

            Akurat wymienione powyżej procesory są jednymi z nowszych, więc współpracują z Androidem w okolicach wersji 5. Tylko po co w związku z tym wypuszczać jakieś aktualizacje bezpieczeństwa jeśli to ściema?

          • Bat

            Z newsa wynika, że to nie jest żadna oficjalna informacja. To tylko oświadczenie wydane przez tego autora antywirusa.

            Nie było jeszcze żadnej aktualizacji i nie wiadomo czy w ogóle luka jest i czy aktualizacja jest planowana. Możliwe, że nie będzie żadnej „łatki”.

          • LinekPark

            Po co ta łatka ma być, skoro w androidzie od wersji 4.2 są zabezpieczenia przeciw tej „dziurze”.

        • LinekPark

          One są w andkach raczej nowszych, niż 4.2, który(jak każdy nowszy) ma zabezpieczenie przed tą „dziurą*”.
          *mój antywirus jest nie popularny i mało na nim zarabiam… Znajdę lukę i zrobię dym…. Ojć, andek ma od dawna na to zabezpieczenia… :/

      • BBfanfan

        Tam były inne sterowniki dla BB10 a to chyba o nie w dużej mierze chodzi. Zresztą BB10 też dostawał i dostaje aktualizacje bezpieczeństwa. Teraz w sumie to tylko takie.

  • missed

    W te bajki o biezpiecznym andrucie to chyba nikt o zdrowych zmysłach nie wierzył.

    • LinekPark

      Zainstaluj sobie syf, to będziesz go miał. Od 4.2 są zabezpieczenia na tą dziurę w sklepie, więc znowu ktoś sobie chce statystyki pobrań antywira polepszyć i zgarnąć kasę.

      • Tyran1918

        Z Windowsom na PC jest taka sama sytuacja. Bez ingerencji użytkownika nic samo nie zainstaluje się. Trzeba po prostu uważać co się robi. Ja jestem uprzedzony do wszelkich antywirusów, ponieważ grzebią w zawartości naszych danych.

        • Bat

          W każdym systemie jest taka sama sytuacja. Jak pobierzesz złośliwą aplikację i świadomie zezwolisz jej na uprawnienia root, czy to w Windowsie, w MacOS, Linuksie czy systemach mobilnych, taka aplikacja po prostu narobi zamieszania.

          Inna sprawa to ograniczenie np. tylko do plików osobistych. Jeśli nie mamy roota np. na Androidzie albo iOS to też aplikacja nie narobi szkód w plikach systemowych. Tyle, że to z kolei ograniczenie do modyfikowania systemu przez nas, a w iOS to nawet ograniczenie w trzymaniu jakichkolwiek plików we wspólnym drzewie katalogów…

          Ja też jestem uprzedzony do antywirusów, od czasów Windows 7 to zbędne oprogramowanie i rynek ten mocno osłabł (Windows ma wbudowany Defender + Firewall). Dlatego producenci antywirusów robią, co mogą, by jeszcze na swoim sofcie trochę zarobić.

          Zresztą kiedyś sami producenci wypuszczali wirusy i łatki do nich, tylko po to by nachapać się $$$.

  • Andrzej Janus

    Dla tego co by nie mówić BlackBerry zawsze będzie używany. Przez ludzi dla których telefon ma działać. Dla mnie BlackBerry rządzi nadal i jeszcze długo będzie. Natomiast android to po prostu pomyłka.

  • Bartosz

    oj coś mi się wydaje ,że lepiej będzie skusić się na iP niż BB z androidem 🙁

    • Dawid Maślanka

      Gdyby nie fizyczna klawiatura/trackpad juz tam bym byl. Ciagle czekam na nastepce Classica. Jako ze czlowiek uczy sie na bledach, mam nadzieje ze juz takiej wpadki nie popelnia. Poki co Chen w Androidzie wychodzi na klauna.

  • Tyran1918

    Napiszcie o wybuchowych modelach Xiaomi, bo tym razem jeden w Polsce eksplodował.

    • Adrian Wilczek

      Czytałem xD Kto mądry będzie teraz dawał telefon pod poduszkę? 😀

      • Tyran1918

        A mi niestety zdarzyło się zasnąć z telefonem przy poduszce.

  • wiejas

    Ha. Wiedziałem. OS 10 takich problemów nie miał. Jednak Android to Android. Niech dalej w niego się pchają. Stracą wszystko i znikną z rynku. Taka przyszłość BlackBerry czeka.

    • ihugun

      Oni mają to gdzieś. Stracą, jeżeli już nie stracili, klienci i fani marki.

    • LinekPark

      Ta dziura powyżej 4.2 jest niegroźna, a i wątpliwości dodaje to, że znalazcy jej mieli od razu powstałego wcześniej antywira na nią…

  • aastelix

    Załatają jedną dziurę, powstanie następna. No i jak korporacje mają kupować BB jak on nie daje bezpieczeństwa.
    Jak już mają kupić androidy to wezmą zetafony dla pracowników a dla kadry zarządzającej coś lepszego. Ale to nie będzie DTek ani Priv bo niby dlaczego miałby być.
    Oczywiście niektórzy się skuszą ale pompy nie będzie.

    • Bat

      BB w takim przypadku powinna sama zatrudniać hackerów do hackowania swojego Androida i łatać luki tylko w swoich telefonach lub jako pierwsi. Wtedy byliby najbezpieczniejsi z Androida.

      Wczoraj była aktualizacja Priva, może dotyczy właśnie tego?

      • Tyran1918

        Jakby opłacała ich korporacja to co to za hekerzy ;P

        • Bat

          Wiesz o co mi chodzi 🙂

          Niech będzie „konsultanci bezpieczeństwa”, którzy dostają nagrody za znajdowanie luk. Więcej luk = większa kasa. Motywujące 🙂

  • Peter

    Wychodzi na to,ze albo iPhone albo pozostanie z BB10 niestety. Szczerze mówiąc przymierzałem sie do kupna tego Dtek’a50 ale po tym co przeczytałem to raczej na to sie nie zdecyduje. Niestety boje sie o swoje wrażliwe dane i w dodatku poufne. Mam iPhona SE i póki co jest spokój. Classic tez ma sie dobrze. Szkoda ze nie ma następcy classica z BB10 bo na androida już raczej nie spojrzę choćby nie wiem co. Sorry ale nie. Albo iOS albo BB10. Dziękuje za uwagę

    • Bartosz

      ja też myślałem o DTEK50 ale jednak sobie odpuszczę 🙁 zostawię sobie obecnego PD’9982 na pamiątkę i pomyślę o iP bo wg mnie nie ma za bardzo wyjścia 🙁 szkoda ,bo już myślałem ,że warto dać szansę BB a tak to równie dobrze mogę kupić Alcatela Idol 4 zamiast DTEK50 bo tak samo są bezpieczne 🙁

      • Tyran1918

        A nie mówiłem tzn. pisałem 😛

      • LinekPark

        Zamawiaj, bo ta luka to blef.

      • Bat

        Weź DTEK50 zamiast Idola, ceny podobne, a dostajesz aktualizacje bezpieczeństwa od BB co miesiąc + masz cały soft BB za free.
        Weźmiesz iPhone to będziesz zawiedziony, ale to Twoja decyzja 🙂

    • Bat

      Jak na razie to iOS oraz OS X przodują w liczbie znajdowanych poważnych luk bezpieczeństwa i wirusów 🙂

      • Peter

        Czyli nie ma złotego środka. A masz jakieś dane co do tego co napisałeś? Poczytałbym 🙂

        • Bat

          Nie dodałem do ulubionych.

          Ogólnie są prowadzone statystyki dotyczące wykrywania luk i wirusów i tutaj Apple przodowało w raportach. Pogooglaj sobie 🙂

          A tak z ostatnich czasów to poważniejsze:
          – W iOS dało się wykradać hasła z aplikacji do haseł,
          – W iOS dało się wpisywać hasło nieskończoną liczbę razy, bo licznik błędnie wpisanych haseł był zwykłym plikiem, do którego można było mieć dostęp podłączając _zabezpieczony_ telefon do kompa,
          – Ludzie kompilowali aplikacje zainfekowanym XCode i Apple akceptowało takie aplikacje w AppStore.

          Skoro Apple nie potrafi dodać obsługi dotykiem do swojego OS X, to nie dziwne, że na bezpieczeństwie też się skupić nie potrafią.

          Widzisz ten cały zamknięty system Apple, weryfikacja przez AppStore, brak dostępu do systemu plików w iOS itp. oraz brak uprawnień administracyjnych w Mac OS to nie kwestia tego, że tak jest bezpieczniej, tylko tego, że Apple nie potrafi zrobić bezpiecznego systemu bez zamykania go kompletnie. I jak widać mimo zamykania swoich systemów i tak mają teraz problemy z bezpieczeństwem.
          Część tych luk jest tak śmieszna, że świadczy tylko o „profesjonalizmie” podejścia Apple i ich programistów. Pewnych rzeczy się po prostu nie robi, ludzie są w tym wyszkoleni, ale jednak w Apple ktoś nie widział niczego złego w zapisywaniu licznika błędnie wpisanych haseł do pliku bez zabezpieczeń.

          Dla mnie to pokazuje brak profesjonalizmu Apple i dlatego nigdy im nie zaufam, na pewno nie przekupią mnie ładnymi pudełkami (bo design OS X wygląda jak jakiś stary Linux).

          • Peter

            Miło się czyta to co piszesz. Póki co włożyłem kartę sim do classica I mam święty spokój. Zobaczymy jak będzie dalej.

      • Tyran1918

        Taki jest koszt popularności. W związku z tym najlepszym wyjściem dla fanów bezpieczeństwa były system typu BB10 z udziałem rynkowym na poziomie do 5%. Wówczas jest na tyle mało popularny, że po prostu nie opłaca się szukać luk i tworzyć wirusy.

        • Bat

          To oczywiste, że im mniej popularny system tym bezpieczniejszy, bo po prostu nikt się nim nie interesuje.

          Jednak np. duży Windows jest dowodem, że najpopularniejszy system może być bezpieczny.
          Kiedyś ludzie się śmiali ile to wirusów nie było na XP i starsze edycje, a teraz w dobie Windows 10 jest to bezpieczny system, na którym wirus się nie zainstaluje o ile sam użytkownik się na to nie zgodzi.
          OS X ma tylko 10% udziałów w rynku „dużych systemów”, a mimo to jest dziurawy jak ser szwajcarski. Kiedyś był uznawany za system bezpieczny, ale odkąd ostatnio wzrosło nim zainteresowanie (pewnie przez fakt, iż użytkownicy iPhone mają złudne nadzieje, że Mac będzie tak samo przyjemny i fajny), znajdowana jest luka za luką.

          Wniosek: popularny system jest najbardziej podatny na luki, w tym przypadku jest to Android. Historia jednak pokazuje, że systematyczne wysiłki w tym kierunku pozwalają na skuteczne załatanie luk i rozbudowanie systemów bezpieczeństwa, lub po prostu napisanie pewnych mechanizmów od nowa (jak w przypadku Windowsa).

          Google skupia się teraz na wyścigu z Apple, by mieć te same funkcje + najlepiej kolejne, dodatkowe. Byle szybciej i łatwiej. Przez to programiści nie mogą skupić się wystarczająco na przeanalizowaniu wszystkich aspektów bezpieczeństwa, a sam system jest bardziej zasobożerny niż mógłby być (przypuszczalnie można by go odchudzić, by działał tak samo sprawnie na nawet 50% słabszym hardware).

          • LinekPark

            Na andku trzeba sobie ten syf zainstalować samemu. Ja w tą lukę nie wierzę.

          • Bat

            Bardzo możliwe, ja to olewam i się tym nie przejmuję.
            Wypuszczenie antywirusa było też bardzo podejrzane. Poza tym mieć antywirusy na telefonach to śmieszna sprawa, bo co one niby przeskanują? Zdjęcia z wakacji i aplikacje pobrane z Google Play?
            Wirus musiałby nagrzebać w plikach systemowych uzyskując dostęp roota. Antywirus już takiego dostępu nie uzyska. A jak ktoś nie instalował niczego podejrzanego to raczej nie ma się o co martwić.

        • LinekPark

          Na andku o wirusa trzeba się postarać i samemu go sobie zainstalować. W GP od 4.2 są zabezpieczenia poddające tą dziurę w wątpliwość. Nie zdziwiło Cię, że znowu ktoś odkrył lukę i od razu miał na nią antywirusa, którego sam stworzył przed wykryciem tej dziury, ale był nie popularny?

  • Peter

    Założę sie ze gdyby wydali teraz następcę classica albo paszporta własnym systemem to sprzedały by sie lepiej niż ten cały priv i Dtek50 razem wzięci. Nawet Kim Kardashian,która bardzo była zżyta ze swoim boldem przymierza sie do następnego Blackberry albo do kolejnego iPhona. Życzę jej aby wybrała jak najlepiej. Dla mnie Blackberry robiło telefonu z własnym systemem i powinno tak zostać. Rynek androida jest jak sami widzicie zreszta,no co tu mowić….no nie jest bezpiecznie. Rywalizacja z samsungiem czy innymi nie ma sensu. Zrobić dobre układy z Google kupić dostęp do sklepu z aplikacjami i dali by rade. Niestety Google nie jest głupie i na to nie pójdzie,bi wiedza czym to grozi. Dostęp do sklepu z apkami od Google plus BB10 blackberry kładzie konkurencje na łopatki. Oczywiste bez marketingu to nie przejdzie wiec tak sobie tylko retorycznie pogadałem sam ze sobą 🙂

    • LinekPark

      Ta dziura jest powyżej 4.2 nie groźna… Dałem post w głównym wątku.

    • civil

      Widzę, że nie tylko ja to widzę, ale skoro sailfish miał dostęp do sklepu google to i BlackBerry mogłoby zapewne mieć, ale podejrzewam że to jest cichy układ zpewnym chinolem i obym się mylił ale skończy się to tak że np. Google przejmie za grosze BlackBerry z jego patentami wszak głupi HUB potrafiłby spowodować że Android odstrzelilby konkurencję

    • Daniel

      Nawet jakby nie było dostępu do sklepu googla i ich usług, to wystarczyłyby chociaż najpopularniejsze gry i aplikacje. Dziś dużo osób telefony ma dla aplikacji, a w BB World nie było i nie ma wielu podstawowych apek, co automatycznie dla wielu skreślało te telefony.
      Co do marketingu, to fakt. U BB ta dziedzina leży i kwiczy do dziś… Wiele osób nawet do dziś nie wie, że BB robi jeszcze dotykowce, ale jak stykają się z systemem nagle wszystko okazuje się super przejrzyste, płynne i w ogóle telefony są ładnie poskładane i sprawiają wrażenie lepszych.
      Pamiętam jak pierwszy raz wyjąłem Z10 z pudełka i jak oczarował mnie BB10, prawie wszystkie opcje były już mi znane mimo, że nie miałem wcześniej styczności z tym systemem. Przy Androidzie i iOS tego nie było i czułem się jak dziecko we mgle.
      Sądzę, że Google dałoby by dostęp do swojego sklepu i usług BB gdyby marka miała duży kawałek na rynku i liczyła się wśród konsumentów. Oni i tak zarabiają głównie na reklamach.

  • Peter

    A przerzucilem kartę z iphona do classica I jest nadal przyjemnie 🙂

    • kukinda

      Znam to uczucie. Z iPhone do Passporta i mnie zmiażdżyło. Wszystko nagle powróciło na swoje miejsce.:)

      • Peter

        Aż tak?! 🙂 classic jest po prostu prze super wygodny 🙂 może wolniejszy od iphona I nie ma tylu apek ale za to mam wygodny w użytkowaniu telefon z genialnym hubem I bez większej troski o to co się stanie bo bezpieczny to on… jest 🙂

        • waldek

          rozsądnie postąpiłeś, duet classic + passport to dopiero wygoda 🙂

  • LinekPark

    Phi…
    http://www.telepolis.pl/wiadomosci/android-quadrooter-nie-taki-straszny,2,3,36778.html?cp=1
    Mając andka 4.2 lub wyżej ma się cos, co zapobiega temu. W tą dziurę nawet tzw. przecinaki by nie wpadły…

  • BBfanfan

    BlackBerry odpowiedziało jednemu z użytkowników Reddit że pracuje nad ostatnim 4-tym niezałatanym błędem w procesorach Qualcomma. Jednocześnie zapewnia że Secure Boot Chain w ich androidach zabezpiecza przed przejęciem kontroli w taki sposób.

    ” I am sorry for the delayed response and I thank you for your patience. BlackBerry is aware of the issue described in CVE-2016-5340 known as ‘ASHmenian Devil’. A fix was integrated and tested in our labs shortly after the report was received and will be made available to customers as soon as possible.

    While the vulnerability affects the majority of Android devices including BlackBerry Android Smartphones, we believe that BlackBerry’s secure boot chain design mitigates the issue since any elevation of privilege to root level will be temporary and any exploit for this issue would be unable to gain a persistent root. BlackBerry is not aware of any exploits for this vulnerability in the wild and does not believe that any customers are currently at risk from this issue. MJH”

    https://m.reddit.com/r/blackberry/comments/4wrif2/blackberry_response_requadrooter/?utm_source=mweb_redirect&compact=true

  • aastelix
  • civil

    Wiecie co a ja tak czytam na telepolis artykuł i tu chodzi o to aby Google więcej zarobiło :
    Po pierwsze tylko sklep google jest bezpieczny
    Po drugie aplikacja że sklepu google sprawdzi które programy zostały zainstalowane że sklepu google (bo tylko one są bezpieczne) i podejrzewam że wszystkie inne będą potencjalnym zagrożeniem – tylko pytanie dla kogo i…..kogo to umocni wszak potęga systemu tkwi w apkach – nieprawdaż? Kto sprzedaje ten zarabia