Trhlina se podle bezpečnostních expertů týká více než poloviny uživatelů operačního systému Android – tedy několika desítek miliónů lidí. Postiženy chybou jsou chytré telefony a tablety s Androidem ve verzi 4.3 a výše.

Kyberzločinci mohou zařízení se systémem od Googlu zneužít ve chvíli, kdy se jim do něj podaří propašovat speciálně upravenou mobilní aplikaci. U ní pak mohou díky trhlině zvýšit na dálku oprávnění a přístroj zcela ovládnout. A to vše bez vědomí uživatele.

Do takto napadeného stroje pak mohou propašovat další škodlivý software, případně získat data, která jsou v něm uložena. Stejně tak ale mohou odposlouchávat činnosti uživatele, a to například včetně potvrzovacích zpráv k jejich internetovému bankovnictví.

Záplata zatím chybí

Teoreticky se dá riziko napadení snížit tím, že uživatelé budou stahovat aplikace pouze z ověřených zdrojů. Historicky se už ale několikrát stalo, že škodlivé aplikace se podařilo propašovat i do oficiálního internetového obchodu Googlu.

Bezpečnostní experti IBM informace o trhlině předali přímo tvůrcům Androidu. Oprava ale zatím ještě není k dispozici.

Problém je také v tom, že celá řada výrobců již starší přístroje s Androidem čtvrté generace nepodporuje. Aktualizace by se tak nemusela k celé řadě uživatelů vůbec dostat.

Jedna kritická chyba za druhou

Zpráva o nové kritické trhlině v operačním systému Android přichází krátce poté, co se ukázalo, že tato mobilní platforma může být snadno napadena pouhou MMS zprávou. [celá zpráva]

„Milióny mobilních telefonů, které využívají Android, přímo ohrožuje chyba v nástroji Stagefright, jež zabezpečuje přehrávání videa. Útočníkovi stačí pro vykonání útoku telefonní číslo uživatele, na které zašle MMS zprávu,“ upozornil již dříve Pavel Bašta, bezpečnostní analytik týmu CSIRT.CZ, který je provozován sdružením CZ.NIC.

Podle něj spočívá hlavní problém v tom, že zmiňovaný nástroj Stagefright má v systému velmi vysoká práva. V podstatě tak prostřednictvím speciálně upravené MMS zprávy získají útočníci přístup k zadním vrátkům do smartphonu – pak už jej mohou snadno zotročit nebo přistupovat ke všem uloženým datům.

Bezpečnostní expert společnosti zLabs Joshua Drake uvedl, že chyba se týká drtivé většiny používaných chytrých telefonů s operačním systémem Android. Postiženo podle něj může být až 950 miliónů mobilů. „Útočníci mají naprosto volné ruce, mohou dělat prakticky cokoli,“ podotkl Drake pro server Threat Post. [celá zpráva]