Wczorajsza luka w iOS‑ie dotyczy Androida i mnóstwa innych urządzeń
Wczoraj, czyli zaledwie tydzień po udostępnieniu iOS-a 10.3., Apple wydało kolejną aktualizację swojego systemu mobilnego. Wersja 10.3.1 ma zawierać łatkę na poważną lukę w bezpieczeństwie iPhone'ów (iPhone 5 i nowsze) oraz iPadów od 4 generacji i iPodów od 6 generacji.
04.04.2017 12:29
Wczoraj Apple opublikowało jedynie ogólniki, według których atakujący, będący w zasięgu Wi-Fi, mógł wykonać dowolny kod na procesorze basebandowym, czyli oddzielnym układzie, który odpowiada za obsługę połączeń radiowych. Problem jednak wcale nie ogranicza się do urządzeń wyprodukowanych przez Apple. Wręcz przeciwnie – skala występowania podatności może być ogromna.
Nie można zapomnieć, że rynek procesorów basebandowych jest w dużej mierze zmonopolizowany na rynku konsumenckim przez Broadcoma. Nawet jeśli sam układ wyprodukowany został przez np. Qualcomma, to i tak to zamknięte firmware w postaci plików obiektowych dostarcza Broadcom.
Choć Apple nie opublikowało szczegółów, to dodatkowe informacje możemy znaleźć w biuletynach bezpieczeństwa Androida. Dopiero jutro wydana zostania łatka, która usuwa krytyczną podatność CVE-2017-0561. Umożliwia ona zdalne wykonanie kodu na procesorze basebandowym. Nie chodzi zatem o lukę w Androidzie czy iOS-ie, lecz w firmware dostarczanym przez samego producenta układu.A to oznacza, że załataną wczoraj przez Apple podatność znadziemy lwiej części urządzeń, które są dziś w stanie łączyć się z Wi-Fi. I nie chodzi tu tylko o miliony smartfonów, ale także o miliony innych urządzeń wykorzystujących procesory ARM i rdzenie Cortex-A53, a nawet Raspberry Pi. Na więcej informacji możemy liczyć jutro, gdy na Androida zostanie udostępniona łatka.