SMS sérülékenységet találtak az Androidban

A múlt hét végén érdekes sérülékenységre bukkant az Androidban a North Carolina Egyetem informatikai tanszékének egyik professzora. A Xuxian Jiang által bemutatott biztonsági rés lehetővé teszi tetszőleges alkalmazás számára, hogy a tárcsázó vagy az üzenetkezelőhöz való hozzáférés jogosultsága nélkül "küldjön" SMS-t az áldozat készülékére, amelyet aztán például adathalász támadásokhoz lehet használni.

A professzor már értesítette a Google-t és nem is hozta nyilvánosságra a sérülékenység legfontosabb részleteit, nehogy kártékony kezekbe kerülve valódi támadásokhoz használják fel azt. A Google biztonsági csapata két nappal az értesítés után megerősítette a sebezhetőség létezését, így hamarosan megjelenhet annak javítása is. "A felelősségteljes publikáció jegyében nem hozzuk nyilvánosságra a sérülékenység részleteit addig, amíg meg nem érkezett a végső javítás. Ugyanakkor szeretnénk tájékoztatni a nyilvánosságot a potenciális veszélyről, ezért is hoztuk létre ezt a weboldalt" - áll Jiang oldalán, ahol a sérülékenységet kihasználó kódot is meg lehet tekinteni működés közben.

A hibát kihasználva olyan programok hozhatók létre, amelyek egy tetszőleges feladótól érkező és tetszőleges tartalmú SMS-t "küldenek" a felhasználónak. Az üzenet nem a mobilhálózaton érkezik, hanem a készüléken belül, a szoftverben keletkezik, a szöveget és a feladót a kód tartalmazhatja vagy generálja, de akár ki is olvashatja a címjegyzékből és például valamelyik ismerősünktől vagy a bankunktól érkező üzenetet hamisíthat. Ezt "smishing", vagyis SMS-alapú adathalász támadásokhoz lehet felhasználni.

Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.

Az ismerősöktől érkező emailek hitelességét meg lehet és meg is kell kérdőjelezni, ha a tartalmuk szokatlan, de egy ismert feladótól származó SMS tartalmát valószínűleg kevesen ellenőriznék és örömmel kattintanának rá egy linkre, amely például a banktól érkezett és nyereményjátékot hirdet vagy nyereménnyel kecsegtet. Egy ilyen link mögé rejtett adathalász oldal valószínűleg keveseknek szúrna szemet, de természetesen másféle támadások is elképzelhetők a sérülékenységet használva.

A kérdéses sebezhetőség az Android nyílt forrású közösségi változatában, az Android Open Source Project keretében közzétett verzióban is megtalálható és az arra épülő gyártói implementációk is nagy valószínűséggel tartalmazzák azt - a kutatók számos különféle szoftververzión és telefonon, a Google saját Nexus készülékei mellett Samsung és HTC modelleken is reprodukálni tudták a hibát, sőt, még egy korai Google fejlesztői telefonon is működött az exploit, ami azt jelenti, hogy a sérülékenység az Android 1.6-os verziójában is jelen volt már.