Home Szoftver Sebezhetőség az androidos eszközök 99%-án

Biztonságtechnikai kutatóknak sikerült olyan hibát találni az Android alkalmazás kezelésében, aminek „hála” a jelenleg elérhető androidos készülékek 99 százalékát képesek lennének megfertőzni úgy, hogy az még csak fel sem tűnne a telefon gazdájának.

A hiba az Android egy korai 1.6-os (Donut) verziója óta létezik, ám kihasználása nem triviális, és aki megbízható forrásokból telepít alkalmazásokat (lásd: Play Store), annak nem kell aggódnia. A hibáról azonban érdemes beszélni, mert tény, hogy létezik.

Az Android alkalmazások hitelesített, titkosított aláírásokat használnak a frissítésekhez. Így ha egy frissítési kísérlet során azt tapasztalják, hogy a kulcs eltér attól, amit az eredeti fejlesztő megadott, elutasítják azt. A Bluebox Labs embereinek azonban sikerült egy módszert találniuk arra, hogyan módosítsanak egy APK (telepítő) fájlt, hogy közben ne kompromitálják az app aláírását. Így pedig a felhasználó háta mögött tudnak kártékony kódokat csempészni a telefonra.

google-androids
A hiba, amint említettük, szinte a teljes Android palettát érinti. A hibáról természetesen értesítve lettek a megfelelő személyek, így a javítás is rendelkezésre áll. Ám az Android rendszer frissítése nem központi, így minden gyártó saját szorgalmán múlik, hogy kijavítja-e a hibát az adott készülékén. A Galaxy S4 legfrissebb szoftverében például már befoltozták ezt a biztonsági rést.

A Blubox Labs kutatási eredményét a múlt hónapban a Black Hat security Los Angeles-ben megtartott rendezvényén mutatta be. További részletek és információ a cég oldalán: http://bluebox.com/corporate-blog/bluebox-uncovers-android-master-key/

Szólj hozzá