Конфликты между IT-гигантами стали уже привычным явлением, причем проигравшей стороной в противостоянии технологических корпораций нередко становятся сами пользователи.
Пользователи Windows попали под риск стать жертвами хакеров после того, как в блоге Google Project Zero, посвященном информационной безопасности, появилась информация о незакрытой уязвимости в операционной системе от Microsoft. В ответ на это глава Microsoft по безопасности Крис Бец заявил, что решение Google публиковать свою находку до того, как для устранения уязвимости в Windows 8.1 выйдет патч, говорит не столько о принципах компании, сколько о желании напакостить конкурентам.
До выпуска патча в момент публикации Project Zero оставалось всего два дня.
По словам старшего антивирусного аналитика «Лаборатории Касперского» Антона Иванова, уязвимость для Windows 8.1 достаточно серьезная, так как она позволяет обойти UAC (User Account Control). Обход этого защитного механизма Windows увеличивает шансы у вредоносного софта остаться незамеченным в системе.
Молчать о «дырах» в ПО до тех пор, пока они не будут устранены, было хорошей идеей, добавил Бец. Если сообщать о них заранее, то это может принести пользователям только вред, подвергнув их риску взломов. Кроме того, это только подгоняет компании к выпуску обновлений, хотя процесс подготовки хорошо работающих патчей — достаточно длительный.
Project Zero публично не сообщали об обнаруженной уязвимости 90 дней (ее нашли еще 13 октября), поэтому представители компании вполне могли оставить свою находку в тайне и чуть дольше.
«Мы попросили Google сотрудничать с нами для защиты пользователей и задержать публикацию этих данных до вторника 13 января, когда мы планируем выпустить патч», — подчеркнул Крис Бец.
На следующий же день после публикации сообщения об уязвимости Windows аналитик исследовательской компании Rapid7 Тод Бирдсли заявил о серьезном баге в компоненте WebView операционной системы Android 4.3 и более ранних ее версий. WebView — это часть ПО, которое позволяет просматривать веб-страницы, не запуская для этого отдельное приложение.
Уязвимости в браузере Android представляют достаточно серьезную угрозу для пользователей, отмечает антивирусный эксперт «Лаборатории Касперского» Виктор Чебышев. Последствиями атаки на браузер могут стать кража персональной информации (например, данных банковских карт), установка вредоносных приложений, которые будут шпионить за устройством и совершать другие вредоносные операции. На сегодняшний день «Лаборатория Касперского» не зафиксировала ни одного массового случая атак подобного рода, так как авторы вирусов в основном пользуются методами социальной инженерии для распространения мобильного вредоносного ПО, но в будущем ситуация может измениться.
Android 4.3 — не новая версия операционной системы, она вышла еще в 2013 году, но 60% пользователей Android (а это почти миллиард человек) до сих пор используют ее или более старые версии ОС. Уязвимость WebView может дать хакерам доступ к данным всех этих людей.
При этом Google не сможет просто решить эту проблему: как сообщили Бигсли в компании, Google не разрабатывает самостоятельно патчи для версий Android старше 4.4, они смогут лишь одобрить поступивший к ним патч для устранения этой уязвимости и сообщить о ней производителям устройств.
«Текущая модель распространения ОС Android среди производителей мобильных устройств не предполагает единой точки хранения патчей для операционной системы. Более того, сама система построена таким образом, что пользователь не может «накатить» патч самостоятельно», — пояснил Виктор Чебышев «Газете.Ru».
Пользователи вынуждены ждать обновления всей прошивки от изготовителя устройства, а они не торопятся выпускать такие прошивки, так как выгоднее для них просто выпустить новое устройство. Ситуация, при которой изготовитель выпустит свежий Android 5 для устройства, которое появилось несколько лет назад, маловероятна.
Юнна Коцар, Дмитрий Бевза