Raz za čas sa objavia informácie o väčšej či menšej bezpečnostnej chybe, ktorou trpí operačný systém Android. Tentokrát sa ale analytikom zo spoločnosti Zimperium podarilo objaviť závažnú zraniteľnosť v systéme, ktorá neohrozuje státisíce ale rovno stovky miliónov užívateľov. V ohrození sú údajne takmer všetky zariadenia, ktoré tento operačný systém používajú. Najväčším problémom je, že užívateľ sa o tom, že práve jeho zariadenie si útočníci vytipovali, vôbec nemusí dozvedieť.
Závažná chyba ohrozuje takmer miliardu zariadení po celom svete
Analytici objavili viacnásobnú zraniteľnosť v jadre Androidu u komponentu s názvom Stagefright, ktorý je zodpovedný na spracovanie, prehrávanie a nahrávanie multimediálnych súborov. Chybu môžu útočníci zneužiť v podstate v momente, keď získajú telefónne číslo užívateľa, na ktoré mu zašlú MMS správu so škodlivým kódom. Doslova otvoriť dvere do systému je ale možné aj v prípade, ak užívateľ cez prehliadač stiahne do svojho telefónu špeciálny video súbor alebo navštívi konkrétnu internetovú stránku s multimediálnym obsahom. V prípade útoku cez MMS správu sú ale dôsledky o to horšie, že užívateľ nemusí vôbec vedieť, že jeho telefón na diaľku ovláda niekto iný. “Útočník môže napríklad zaslať škodlivú MMS správu v noci, keď jeho obeť spí. Akonáhle zariadenie infikuje, môže správu na diaľku zmazať,” uviedol magazín PC World.
“Existuje pomerne široká škála možností, ako útok uskutočniť, nakoľko ak sa Andorid dostane k multimédiu z ľubovolného zdroja, bude na jeho dekódovanie používať práve tento zraniteľný komponent,” uviedol Joshua Drake zo spoločnosti Zimperium. Knižnica médií nie je ale využívaná len na prehrávanie súborov, ale aj na automatické vytváranie náhľadov alebo čítanie metadát ako napríklad dĺžka videa, pomer strán a podobne. Znamená to, že vo výsledku nie je potrebné súbor ani otvárať, Android tak urobí automaticky a bez vedomia užívateľa.
Zaútočiť možno aj zaslaním obyčajne MMS správy. Užívateľ nemusí o ničom vedieť
Doposiaľ nebo zaznamenaný žiaden útok, ktorý by profitoval z objavenej chyby, čo však neznamená, že hackeri nemôžu promptne zareagovať. Do doby, kým si posledný užívateľ chybu v systéme nezapláta, majú prakticky voľné ruky. Podľa výskumníkov je možné predpokladať, že 20 až 50 percent zariadení s Androidom zrejme nebude nikdy aktualizovaných, a teda budú aj naďalej zraniteľné. Chybu v systéme je možné využiť pri získaní prístupu k mikrofónu, kamere a dátam uloženým na pamäťovej karte. Inštalovať aplikácie alebo pristupovať k údajom vo vnútornej pamäti zariadenia vraj ale nie je možné.
Na opravu od výrobcu si treba ešte počkať
Zraniteľných je dovedna 950 miliónov zariadení po celom svete, pričom najviac sú v ohrození zariadenia so staršou verziou operačného systému (staršou ako verzia Jelly Bean). Google už chybu síce stihol chybu opraviť a opravný balík zaslať výrobcom, no k užívateľom sa zatiaľ aktualizácia nedostala. Výrobcovia ju najprv musia skontrolovať, dodatočne upraviť a až následne sprístupniť svojim zákazníkom. To môže trvať v lepšom prípade niekoľko dní. Výrobcovia, ktorí nie sú priamo partnermi Googlu, sa k oprave dostanú oveľa neskôr, ak vôbec. Odporúčame vám sledovať v systémových nastaveniach, či výrobca vášho zariadenia s Androidom medzičasom nesprístupnil opravnú aktualizáciu.