Több száz alkalmazás használja ki az Android sebezhetőségét
A napokban megtalált és a Google számára is eljuttatott SMS sebezhetőség már régóta ismert és kihasznált hiba, állítja a Symantec szakértője. A Play Store-ból most is több száz, SMS-eket hamisító alkalmazás tölthető le, amelyek reklámokkal bombázzák a felhasználókat.
A North Carolina egyetem professzora a múlt héten hívta fel a Google figyelmét egy sebezhetőségre, amelyet az Android SMS-kezelő rendszerében talált. A Symantec szerint jelenleg is több száz olyan program érhető el a Play Store-ban, ami erre a sérülékenységre épít és például reklámokkal szemeteli tele a felhasználó SMS fiókját.
A Symantec biztonsági szakértője, Mario Ballano egy blogbejegyzésben hívta fel a figyelmet arra, hogy a North Carolina egyetem professzora által publikált sebezhetőséget jelenleg is több száz, az Android piacterén elérhető alkalmazás használja ki. Ballano szerint a hibát kihasználó példakód 2010 óta széles körben ismert és használt és számos program épül rá, amelyek egy kisebb része az SMS-ek kezelését integrálja például a közösségi hálózatokból érkező üzenetekkel, egy egységes inboxot létrehozva, a túlnyomó többségük azonban egy távoli szerverről reklámokat tölt le.
A hibát kihasználva olyan programok hozhatók létre, amelyek egy tetszőleges feladótól érkező és tetszőleges tartalmú SMS-t "küldenek" a felhasználónak. Az üzenet nem a mobilhálózaton érkezik, hanem a készüléken belül, a szoftverben keletkezik, a szöveget és a feladót a kód tartalmazhatja vagy generálja, de akár ki is olvashatja a címjegyzékből és például valamelyik ismerősünktől vagy a bankunktól érkező üzenetet hamisíthat. Ezt "smishing", vagyis SMS-alapú adathalász támadásokhoz lehet felhasználni.
A biztonsági rés révén az Android üzenetkezelő rendszerét át lehet verni és közvetlenül az alkalmazásból lehet neki eljuttatni egy tetszőleges SMS-t, amelyet az elhelyez a beérkezett üzenetek között és érkezéséről értesítést is küld a felhasználónak, így az teljesen abban a hitben van, hogy a mobilhálózaton keresztül érkezett üzenetet lát. A sebezhetőség természetéből adódóan az üzeneteket hamisító programnak nem kell jogosultságot kérnie a felhasználótól semmihez, se az üzenetkezelő vagy a tárcsázó használatához. A Symantec szakértője mintegy 250 olyan programot talált a Play Store-ban, amelyek ezt a hibát használják ki, a szóban forgó programokat már több milliószor töltötték le.
A North Carolina egyetem professzora, Xuxian Jiang szerint a sebezhetőséget adathalász támadásokra is fel lehet használni, de a Symantec egyelőre nem tud olyan programról, amely ezt tenné. A hibát Android 1.6 verziótól kezdve 4.x-ig bezárólag többféle szoftververzión és készüléken reprodukálni tudták. A Google már értesült a sebezhetőségről és állítása szerint dolgozik a foltozásán, de mire a javítások megérkeznek a felhasználók készülékeire, hetek vagy akár hónapok is eltelhetnek és könnyen elképzelhető, hogy a régebbi modellek frissítés nélkül maradnak.