Súlyos biztonsági hibák a Samsung androidos eszközeiben

Súlyos biztonsági hibákat hoztak az Android rendszerbe a Samsung saját módosításai - találta Roberto Paleari számítógépes biztonsági kutató. Paleari szerint a biztonsági rések roppant egyszerűen megtalálhatóak, némi programozói és biztonságtechnikai jártassággal könnyedén felfedezhetőek. A hibák részletei egyelőre nem nyilvánosak, mivel a Samsung még nem adta ki a megfelelő frissítéseket.

Lyukas a TouchWiz

A kutató szerint a Samsung-féle módosítások nyomán több súlyos sérülékenység is a rendszer részévé vált, így két külön hiba engedi meg a "jogosultságkiterjesztést", pontosabban egy jogosultság nélkül futó alkalmazás telepíthet egy másikat, amely már bármilyen jogosultsággal rendelkezhet. Egy további hiba megengedi, hogy támadó SMS-t küldjön, anélkül, hogy az alkalmazása erre jogosultságot kérne a rendszertől. Újabb hiba, hogy egy alkalmazás gyakorlatilag bármihez hozzáfér a felhasználó telefonján, indíthat hívásokat, küldhet emaileket, SMS-eket is akár. Néhány további hiba révén egy támadó a telefon bármely beállítását saját hatáskörben módosíthatja, a hálózati beállításokat és az adatkapcsolatot is beleértve - mindezt persze a felhasználó tudta és szándéka nélkül.

Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.

A kutató beszámolt a Samsunggal folytatott kommunikáció visszásságairól is. Paleari januárban értesítette a gyártót a biztonsági problémákról, illetve elküldte a hibák részletes leírását és az azokat kihasználni képes példakódot is. Az azóta eltelt két hónapban a Samsung nem jelzett vissza hivatalos úton, hogy megkezdte volna a hibák kijavítását, a bejelentés hivatalosan továbbra is "sebezhetőségek keresésének folyamatánál" tart. Február végén a gyártó kérte a biztonsági hibák nyilvánosságra hozásának késleltetését, mivel a frissítést minden szolgáltatópartnernek jóvá kell hagynia - ez esetenként akár hónapokig is elhúzódhat, főleg mivel számtalan készülék érintett.

A képernyő nem zár

A Samsung-féle egyedi szoftverekkel kapcsolatban más is jelentett mostanában biztonsági hibát. Terence Eden március elején mutatta be, hogy hogyan kerülhető meg a Galaxy-sorozatú eszközök képernyőzárja. A TouchWiz néhány tizedmásodpercre felvillantja a rendszer főképernyőjét, ez elegendő lehet ahhoz, hogy a támadó elindítsa a Play Store-t, amelyből pedig telepíthető olyan alkalmazás, amely képes lekapcsolni a képernyőzárat, így a támadó teljes hozzáférést nyer a telefonhoz. Ez különösen vállalati felhasználók számára lehet kellemetlen, a képernyőzárat ugyanis jellemzően ilyen környzetben, házirenddel kényszerítik ki - egyes Galaxy eszközökön feleslegesen. A hiba nyilvánosságra hozását követően sikerült azt reprodukálni számos rendszeren, így Gingerbread és Jelly Bean-alapú készülékeken is, beleértve a roppant népszerű Galaxy Note 2 és S III modelleket is.