Szerző: Bodnár Ádám

2012. november 7. 11:43

Több száz alkalmazás használja ki az Android sebezhetőségét

A napokban megtalált és a Google számára is eljuttatott SMS sebezhetőség már régóta ismert és kihasznált hiba, állítja a Symantec szakértője. A Play Store-ból most is több száz, SMS-eket hamisító alkalmazás tölthető le, amelyek reklámokkal bombázzák a felhasználókat.

A North Carolina egyetem professzora a múlt héten hívta fel a Google figyelmét egy sebezhetőségre, amelyet az Android SMS-kezelő rendszerében talált. A Symantec szerint jelenleg is több száz olyan program érhető el a Play Store-ban, ami erre a sérülékenységre épít és például reklámokkal szemeteli tele a felhasználó SMS fiókját.

A Symantec biztonsági szakértője, Mario Ballano egy blogbejegyzésben hívta fel a figyelmet arra, hogy a North Carolina egyetem professzora által publikált sebezhetőséget jelenleg is több száz, az Android piacterén elérhető alkalmazás használja ki. Ballano szerint a hibát kihasználó példakód 2010 óta széles körben ismert és használt és számos program épül rá, amelyek egy kisebb része az SMS-ek kezelését integrálja például a közösségi hálózatokból érkező üzenetekkel, egy egységes inboxot létrehozva, a túlnyomó többségük azonban egy távoli szerverről reklámokat tölt le.

A hibát kihasználva olyan programok hozhatók létre, amelyek egy tetszőleges feladótól érkező és tetszőleges tartalmú SMS-t "küldenek" a felhasználónak. Az üzenet nem a mobilhálózaton érkezik, hanem a készüléken belül, a szoftverben keletkezik, a szöveget és a feladót a kód tartalmazhatja vagy generálja, de akár ki is olvashatja a címjegyzékből és például valamelyik ismerősünktől vagy a bankunktól érkező üzenetet hamisíthat. Ezt "smishing", vagyis SMS-alapú adathalász támadásokhoz lehet felhasználni.

Mindent vivő munkahelyek

Mindig voltak olyan informatikai munkahelyek, melyek nagyon jól fekszenek az önéletrajzban.

Mindent vivő munkahelyek Mindig voltak olyan informatikai munkahelyek, melyek nagyon jól fekszenek az önéletrajzban.

A biztonsági rés révén az Android üzenetkezelő rendszerét át lehet verni és közvetlenül az alkalmazásból lehet neki eljuttatni egy tetszőleges SMS-t, amelyet az elhelyez a beérkezett üzenetek között és érkezéséről értesítést is küld a felhasználónak, így az teljesen abban a hitben van, hogy a mobilhálózaton keresztül érkezett üzenetet lát. A sebezhetőség természetéből adódóan az üzeneteket hamisító programnak nem kell jogosultságot kérnie a felhasználótól semmihez, se az üzenetkezelő vagy a tárcsázó használatához. A Symantec szakértője mintegy 250 olyan programot talált a Play Store-ban, amelyek ezt a hibát használják ki, a szóban forgó programokat már több milliószor töltötték le.

A North Carolina egyetem professzora, Xuxian Jiang szerint a sebezhetőséget adathalász támadásokra is fel lehet használni, de a Symantec egyelőre nem tud olyan programról, amely ezt tenné. A hibát Android 1.6 verziótól kezdve 4.x-ig bezárólag többféle szoftververzión és készüléken reprodukálni tudták. A Google már értesült a sebezhetőségről és állítása szerint dolgozik a foltozásán, de mire a javítások megérkeznek a felhasználók készülékeire, hetek vagy akár hónapok is eltelhetnek és könnyen elképzelhető, hogy a régebbi modellek frissítés nélkül maradnak.

a címlapról