В Android N Google постарается не допустить новых уязвимостей типа Stagefright

Как покупатели выбирают, на какой операционной системе купить смартфон? Не считая выбора на основе рекламы и маркетинга, а также аппаратных возможностей конкретных моделей, во внимание принимается количество и качество приложений, производительность устройства и безопасность системы. В последнем пункте Android в прошлом году получила тяжёлый удар с обнаружением уязвимости Stagefright, существующей на огромном множестве устройств.

Google быстро выпустила патч для закрытия Stagefright, однако ситуация с обновлениями Android такова, что большинство устройств этот патч никогда не увидят. По этой причине усилия должны быть направлены на предотвращение появления таких уязвимостей, а не на их закрытие после обнаружения. В новой системе Android N разработчики постараются в будущем предотвратить появление подобных уязвимостей, о чём было рассказано в блоге компании.

Stagefright работает при помощи создания медиафайлов; когда Android обрабатывает их, баг позволяет получить контроль над системой и выполнять вредоносный код. Первым шагом разработчиков является запрет подобным изменённым хакерами файлам вызывать непредусмотренное поведение программ. Код системы сможет распознавать уязвимые сегменты и избегать их.

Второй шаг - уменьшить ущерб от бага, который всё же был использован. Google будет разбивать процессы вроде Android MediaServer на множество сегментов, давая каждому права только для выполнения своей задачи, поэтому ущерб на уровне всей системы причинить станет сложнее. Например, ранее при получении контроля над MediaServer можно было получить доступ к файловой системе Android, сети, чтению и записи памяти. Разделение на функциональные части, по плану Google, не будет давать хакерам таких обширных возможностей за счёт одной уязвимости.