• Google+
    Google+
  • Facebook
    Facebook
  • Twitter
    Twitter
  • E-Mail
    E-mail

Hibák az Android kernelben – biztonsági riport

November 1-én látott napvilágot az a szoftverbiztonsági jelentés, amiben a Coverity Inc. az Android kernelt (rendszermagot) vette górcső alá. A vizsgálat célja az volt, hogy kiderítsék, mennyi biztonságtechnikai szempontból kifogásolható hiba található az Android lelkében. A részletes eredményeket a Coverity nem tette közzé, de a jelentés letölthető az oldalukról, és a blogjukon nagy vonalakban leírták a tapasztaltakat.

Tulajdonképpen olyan, hogy “AZ” Android kernel, nem igazán létezik, hiszen a forráskódot az egyes gyártók a készülékekhez igazítják, elég, ha a beépített részegységek drivereire gondolunk. A Coverity csapata a HTC Droid Incredible-t választották, azon prózai oknál fogva, miszerint az egyik munkatársuknak ilyen telefonja van, és kíváncsi volt, mennyi hibát találnak benne.

A teszt során az derült ki, hogy a tesztelt Android kernel átlagos hibasűrűsége 1000 kódsoronként 0,47 hiba, ami kicsit kevesebb, mint a fele az iparági átlag, ami 1,0 hiba 1000 kódsoronként. Ez egész jó eredmény. Az analízis során összesen 359 hibát találtak, amiből 88 (nagyjából 25%) számít kritikusnak, vagyis memória- és erőforrás-kezelési hibák, illetve nem inicializált változók. Az Android-specifikus részeken, amik jobban eltérnek a Linux-alapú kerneltől, már magasabb az arány, de a hibasűrűség itt is “csak” 0,78 1000 kódsoronként.

A HTC fejlesztői weboldaláról letöltött forráskód elemzése során feltárt hibákat a Coverity egyelőre nem tette közzé. Az Android biztonsági szakértőinek, a telefongyártóknak, és a biztonsági szakembereknek nagyjából 60 nap áll rendelkezésére, hogy megtalálják ezeket a hibákat, vagyis nagyjából év végéig nem lesznek nyilvánosak ezek a hibák. Ezután viszont minden technikai részlet napvilágra kerül, amit valószínűleg nem szívesen látnának az Android háza táján.

A talált hibák ellenére a Coverity csapata továbbra is az egyik legbiztonságosabb nyílt platformnak tartja az Androidot. A teljes jelentés PDF formátumban letölthető a Coverity weboldaláról.

  • Share