„Milióny mobilních telefonů, které využívají Android, přímo ohrožuje chyba v nástroji Stagefright, jež zabezpečuje přehrávání videa. Útočníkovi stačí pro vykonání útoku telefonní číslo uživatele, na které zašle MMS zprávu,“ upozornil Pavel Bašta, bezpečnostní analytik týmu CSIRT.CZ, který je provozován sdružením CZ.NIC.

Podle něj spočívá hlavní problém v tom, že zmiňovaný nástroj Stagefright má v systému velmi vysoká práva. V podstatě tak prostřednictvím speciálně upravené MMS zprávy získají útočníci přístup k zadním vrátkům do smartphonu – pak už jej mohou snadno zotročit nebo přistupovat ke všem uloženým datům.

Záplata zatím chybí

Bezpečnostní expert společnosti zLabs Joshua Drake uvedl, že chyba se týká drtivé většiny používaných chytrých telefonů s operačním systémem Android. Postiženo podle něj může být až 950 miliónů mobilů. „Útočníci mají naprosto volné ruce, mohou dělat prakticky cokoli,“ podotkl Drake pro server Threat Post.

Bližší informace o MMS zprávě, jejímž prostřednictvím mohou kyberzločinci napadnout chytrý telefon s Androidem, zatím bezpečnostní experti tají. Podrobnosti odhalí až na konferenci Black Hat, která bude probíhat na přelomu tohoto a příštího týdne v americkém Las Vegas.

Záplata znemožňující útočníkům MMS zprávu zneužít zatím chybí. Zda ji zvládnou výrobci jednotlivých smartphonů do té doby uvolnit ke stažení, zatím není jasné.

Je to jako Chyba krvácejícího srdce

Drake přitom zdůraznil, že zranitelnost chytrých telefonů s operačním systémem Android je možné srovnávat přinejmenším s loni objevenou Chybou krvácejícího srdce (Heartbleed Bug). Ta se týkala šifrovací knihovny OpenSSL a bezpečnostní experti ji označovali za jedno z největších bezpečnostních rizik v historii počítačů.

Podle odhadů bezpečnostních expertů se totiž Chyba krvácejícího srdce týkala dvou třetin celého internetu, protože OpenSSL patří k nejrozšířenějšímu kryptovacímu softwaru na internetu.

Mezi postiženými byly tehdy i velké portály, jako jsou například Yahoo.com, Flickr.com či Mail.com. I proto se podle BBC jedná o jednu nejzávažnějších bezpečnostních trhlin v historii internetu. Chyba, která by v takovém rozsahu vystavila internet potenciálním útokům, se totiž dosud nikdy neobjevila. [celá zpráva]