Společnost Zimperium Mobile Security, která se zabývá bezpečností mobilních platforem, objevila poměrně zásadní chybu v zabezpečení systému Android, dokonce o ní hovoří jako o nejhorší dosud nalezené chybě v zabezpečení Androidu. Míra nebezpečí je velmi vysoká, neboť útočník nepotřebuje žádnou spoluúčast majitele telefonu, jediné, co potřebuje, je znát jeho telefonní číslo.
Chyba využívá multimediální knihovny Stagefright
Poté postačí zaslat multimediální zprávu s modifikovaným souborem, a pokud má příjemce nastavené automatické stahování příloh, může útočník dostat přístup k důležitým funkcím telefonu včetně fotoaparátu a mikrofonu. Na 50 procentech zařízení je údajně tímto způsobem získat přístup s vyšším oprávněním a převzít nad zařízením úplnou kontrolu. Inteligentní kód dokonce může příchozí zprávu smazat hned po jejím přijetí, tudíž se příjemce nemusí o infekci ani dozvědět. Problém se netýká jen MMS, nebezpečný kód z upraveného multimediálního souboru je možné „získat“ i při prohlížení videa ve webovém prohlížeči.
Počet zneužitelných zařízení se odhaduje na 950 milionů, což je prakticky každé zařízení s Androidem. Zranitelné jsou všechny verze Androidu včetně těch nejnovějších, největší riziko se týká verze 4.2 Jelly Bean. Objevitelé chyby již předali Google všechny informace, a také vytvořené záplaty, které Google do 48 hodin začal interně testovat. Bohužel aktualizační proces je u systému Android poměrně zdlouhavý a vyžaduje součinnost s mobilními operátory, tudíž je vysoce pravděpodobné, že zařízení staršího data výroby se opravy nedočkají vůbec.
Jakub Karásek
Další dnešní články
