Quadrooter sårbarhet: 5 saker att veta om denna Android-säkerhetsskräck

Återigen är det Android-säkerhetsskräcksäsongen. I morse nyheter bröt om den senaste samlingen av sårbarheter, upptäckt av säkerhetsföretaget Check Point och grupperas under den fängslande monicker "QuadRooter." Som vanligt har de flesta rapporteringen fokuserat på värsta fall och ett chockerande stort antal potentiellt utsatta enheter - i det här fallet uppskattningsvis 900 miljoner.

Vi kommer att bryta ner exakt vad som händer och hur sårbara du sannolikt kommer att vara. Läs vidare.

1. Det är en Qualcomm-sak

Check Point riktade specifikt Qualcomm på grund av sin dominerande position i Android-ekosystemet. Eftersom så många Android-telefoner använder Qualcomm-hårdvara, bidrar drivrutinerna Qualcomm till programvaran på dessa telefoner för ett attraktivt mål - en enda uppsättning sårbarheter som påverkar en stor del av Android-användarbasen. (Särskilt påverkar buggarna nätverk, grafik och minnesallokeringskod.)

Qualcomms förare är ett stort, attraktivt mål.

Alla fyra exploateringar som utgör QuadRooter påverkar Qualcomm-drivrutiner, så om du har en telefon som inte använder någon Qualcomm-maskinvara alls - till exempel en Galaxy S6 eller Note 5 (som använder Samsungs egen Exynos-processor och Shannon-modem), " har inte påverkats av detta.

2. Det är allvarligt, men det finns inga bevis för att det används i naturen

Som namnet antyder är QuadRoot en samling av fyra exploater i Qualcomms kod som kan göra det möjligt för en skadlig app att få rotbehörigheter - dvs. tillgång till i princip allt på din telefon. Därifrån kan du drömma om valfritt antal mardrömsscenarier: angripare som lyssnar på telefonsamtal, spionerar genom din kamera, skaffar ekonomiska detaljer eller låser dina data med ransomware.

Ingen pratar om att dessa exploater används i naturen ännu, vilket är bra. (Check Point uppskattar att de dåliga killarna kommer att ha det paketerat till fungerande skadlig programvara inom tre eller fyra månader.) Men med tanke på utmaningarna med att uppdatera programvaran på miljarder plus Android-enheter där ute, kommer malware-skapare att ha gott om tid att räkna med ut en praktisk tillämpning.

Men…

3. Chansen är stor att du inte är "sårbar"

QuadRooter är en av de många Android-säkerhetsproblemen som kräver att du installerar en app manuellt. Det innebär att manuellt går till säkerhetsinställningar och växlar kryssrutan "Okända källor".

Varje vuln som kräver att du installerar en app manuellt körs i två stora vägspärrar: Play Store och Android: s inbyggda "Verify Apps" -funktion.

Med tanke på att Check Point först avslöjade sårbarheterna i april har Google nästan säkert skannat Play Store-appar efter dessa exploater under en lång tid. Det betyder att du kommer att ha det bra om du, som de flesta, bara laddar ner appar från Play Store.

Och även om du inte gör det, är Android: s "Verify Apps" -funktion utformad för att fungera som ett extra lager av skydd, genom att skanna appar från tredjepartskällor efter känd skadlig programvara innan du installerar. Denna funktion är som standard aktiverad i alla Android-versioner sedan 2012: s 4.2 Jelly Bean, och eftersom den är en del av Google Play Services uppdateras den alltid. Från den senaste tillgängliga statistiken har mer än 90 procent av aktiva Android-enheter version 4.2 eller senare.

Vi har ingen uttrycklig bekräftelse från Google att "Verify Apps" söker efter QuadRooter, men med tanke på att Google informerades för månader sedan, är det troligt att det är det. Och om det är så kommer Android att identifiera en QuadRooter-inhyserande app som skadlig och visa en stor läskig varningsskärm innan du låter dig komma någonstans nära att installera den.

Uppdatering: Google har bekräftat att Verify Apps kan upptäcka och blockera QuadRooter.

I så fall är du fortfarande "sårbar?" Tja tekniskt. Du kan tänkbart gå till Säkerhetsinställningar, aktivera okända källor och sedan ignorera varningen på helskärm om att du ska installera skadlig programvara och inaktivera ännu en säkerhetsinställning någon annanstans. Men vid den tidpunkten är det till stor del på dig.

4. Android-säkerhet är svår, även med månatliga korrigeringar

En intressant aspekt av QuadRooter-sagan är vad den visar oss om Android-säkerhetsutmaningarna som fortfarande finns kvar, även i en värld av månatliga säkerhetsuppdateringar. Tre av de fyra sårbarheterna fixas i de senaste korrigeringarna i augusti 2016, men en har tydligen glidit igenom sprickorna och kommer inte att fixas förrän i september-lappen. Det är anledningen till berättigad oro eftersom informationen skedde tillbaka i april.

En Qualcomm-representant berättade dock för ZDNet att chipmakaren hade utfärdat sina egna lappar till tillverkarna mellan april och juli, så det är möjligt att vissa modeller kan ha uppdaterats utanför Googles lappmekanism. Detta understryker bara förvirringen med att ha en tydlig lappnivå från Google, medan enhetstillverkare och komponenttillverkare också tillhandahåller säkerhetsfixer.

De flesta Android-telefontillverkare suger efter att utfärda säkerhetsfixar. Och även uppdaterade enheter kommer inte att lappas helt under en månad.

För tillfället är det enda sättet att veta om din telefon är teoretiskt sårbar att ladda ner Check Point's QuadRoot-skannerapp från Play Store.

Även när patchar har utfärdats, måste de gå igenom enhetstillverkare och transportörer innan de skjuts ut till telefoner. Och även om vissa företag som Samsung, BlackBerry och (naturligtvis) Google har varit snabba på att se till att de senaste patcharna är tillgängliga, är de flesta som gör Android-enheter ingenstans nära så tidiga - särskilt när det gäller äldre eller billigare telefoner.

QuadRooter understryker hur otaligheten hos Qualcomm-baserade Android-enheter gör dem till ett attraktivt mål, medan mångfalden hårdvara som helhet gör att alla dem uppdateras nära omöjliga.

5. Vi har varit här tidigare

• Fånga marknadsföringsnamn? Kontrollera.
• Stort läskigt antal "sårbara" enheter? Kontrollera.
• Gratis upptäckts-app som säljs av ett säkerhetsföretag med en produkt att sälja? Kontrollera.
• Inga bevis för användning i naturen? Kontrollera.
• Tryck på att ignorera Play Store och verifiera appar som en blockering mot app-baserade exploater? Kontrollera.

Det är samma dans som vi gör varje år runt säkerhetskonferensstiden. 2014 var det Fake ID. 2015 var det Stagefright. Tyvärr har förståelsen för Android-säkerhetsfrågor i medierna i stort förblivit tråkig, och det betyder att siffror som de "900 miljoner" som drabbats stöter runt ekokammaren utan sammanhang.

Om du är smart om apparna du installerar finns det inte mycket anledning att oroa dig för. Och även om du inte är det är chansen att Play Services och Verify Apps kommer att ha ryggen.

MER: Android Malware - ska du vara orolig?