Szerző: Bodnár Ádám

2012. november 5. 14:40

SMS sérülékenységet találtak az Androidban

A North Carolina Egyetem biztonsági kutatója olyan sebezhetőséget fedezett fel az Androidban, amelyet kihasználva egy program tetszőleges tartalmú SMS-t "küldhet" a felhasználónak.

A múlt hét végén érdekes sérülékenységre bukkant az Androidban a North Carolina Egyetem informatikai tanszékének egyik professzora. A Xuxian Jiang által bemutatott biztonsági rés lehetővé teszi tetszőleges alkalmazás számára, hogy a tárcsázó vagy az üzenetkezelőhöz való hozzáférés jogosultsága nélkül "küldjön" SMS-t az áldozat készülékére, amelyet aztán például adathalász támadásokhoz lehet használni.

A professzor már értesítette a Google-t és nem is hozta nyilvánosságra a sérülékenység legfontosabb részleteit, nehogy kártékony kezekbe kerülve valódi támadásokhoz használják fel azt. A Google biztonsági csapata két nappal az értesítés után megerősítette a sebezhetőség létezését, így hamarosan megjelenhet annak javítása is. "A felelősségteljes publikáció jegyében nem hozzuk nyilvánosságra a sérülékenység részleteit addig, amíg meg nem érkezett a végső javítás. Ugyanakkor szeretnénk tájékoztatni a nyilvánosságot a potenciális veszélyről, ezért is hoztuk létre ezt a weboldalt" - áll Jiang oldalán, ahol a sérülékenységet kihasználó kódot is meg lehet tekinteni működés közben.

03:16
 

SMS Phishing (SMiShing) Vuln. Demo in Android

Még több videó

A hibát kihasználva olyan programok hozhatók létre, amelyek egy tetszőleges feladótól érkező és tetszőleges tartalmú SMS-t "küldenek" a felhasználónak. Az üzenet nem a mobilhálózaton érkezik, hanem a készüléken belül, a szoftverben keletkezik, a szöveget és a feladót a kód tartalmazhatja vagy generálja, de akár ki is olvashatja a címjegyzékből és például valamelyik ismerősünktől vagy a bankunktól érkező üzenetet hamisíthat. Ezt "smishing", vagyis SMS-alapú adathalász támadásokhoz lehet felhasználni.

Mindent vivő munkahelyek

Mindig voltak olyan informatikai munkahelyek, melyek nagyon jól fekszenek az önéletrajzban.

Mindent vivő munkahelyek Mindig voltak olyan informatikai munkahelyek, melyek nagyon jól fekszenek az önéletrajzban.

Az ismerősöktől érkező emailek hitelességét meg lehet és meg is kell kérdőjelezni, ha a tartalmuk szokatlan, de egy ismert feladótól származó SMS tartalmát valószínűleg kevesen ellenőriznék és örömmel kattintanának rá egy linkre, amely például a banktól érkezett és nyereményjátékot hirdet vagy nyereménnyel kecsegtet. Egy ilyen link mögé rejtett adathalász oldal valószínűleg keveseknek szúrna szemet, de természetesen másféle támadások is elképzelhetők a sérülékenységet használva.

A kérdéses sebezhetőség az Android nyílt forrású közösségi változatában, az Android Open Source Project keretében közzétett verzióban is megtalálható és az arra épülő gyártói implementációk is nagy valószínűséggel tartalmazzák azt - a kutatók számos különféle szoftververzión és telefonon, a Google saját Nexus készülékei mellett Samsung és HTC modelleken is reprodukálni tudták a hibát, sőt, még egy korai Google fejlesztői telefonon is működött az exploit, ami azt jelenti, hogy a sérülékenység az Android 1.6-os verziójában is jelen volt már.

a címlapról