Samsung parandas aastatetaguse turvavea oma telefonides
Ükspuha kui palju seadmetootjad oma aparaatide riist- ja tarkvaravigu ei leia ega paranda, kõiki ei pruugi avastada ka aastate jooksul. Seadmeid on palju, kasutajaid on palju ja ka eri võimalusi kasutamiseks on väga palju, nii et täielik kontroll asjade üle on tehnoloogiamaailmas sama illusoorne kui päriselus.
Pealkirjas ja avalõigus mainitud viga oli nullpäeva-nõrkus (ingl zero-day vulnerability) – see ilmnes alles toote kasutuselevõtu järel ja tootja ei teadnud seega seda eelnevalt parandada.
Samsungi telefonide turvaviga võis tekkida millalgi 2014. aasta lõpupoole, kui firma seadmetes tuli kasutusele pildiformaat Qmage (failid lõpuga .qmg).
Vea leidis tänavu veebruaris turvaekspert Mateusz Jerczyk, kes töötab Google'i tiimis Project Zero, mille eesmärk ongi nullpäeva-nõrkusi leida. Ta märkas võimalust pahatahtlikult ära kasutada seda protsessi, kuidas Androidi graafika-teek (ingl library) Skia seadmele saadetud Qmage-failidega ümber käib.
Vaata kirjeldatud nõrkuse ärakasutamist videos:
Nõrkuse teel seadmesse tungimine võib toimuda selle kasutaja märkamata, selleks kulub Jerczyki osutusel tavaliselt kuni 100 minutit ja 50-300 MMS-sõnumit.
Samsung suutis tarkvara-paranduse välja lasta mais ja pole kuulda, et häkkerid oleksid nõrkust seni kuidagi ära kasutanud. Lõpp hea, kõik hea.