Szerző: Hlács Ferenc

2016. október 17. 11:37

Rút hibát találtak a Foxconn androidos telefonjaiban

Root jogosultságot biztosító sebezhetőség bukkant fel a Foxconn által gyártott egyes androidos készülékekben. A hiba USB-n keresztül használható ki, arra a bűnözők mellett a törvényszéki szakértők is lecsaphatnak.

Ismét kritikus sebezhetőség fenyeget egyes androidos eszközöket, ezúttal a Foxconn gyártósorairól lekerült telefonokban bukkant fel akár root hozzáférést is lehetővé tevő biztonsági rés. A frissen felfedezett sérülékenységről Jon Sawyer biztonsági szakértő blogposztban számolt be, a hibát kihasználva az érintett készülékeken akár root jogosultság is szerezhető.

A "Pork Explosion" névre keresztelt sebezhetőség által jelentett veszélyt némileg enyhíti, hogy annak kiaknázásához a támadóknak fizikailag is hozzá kell férniük a kiszemelt eszközhöz, amelyet USB kapcsolaton keresztül vehetnek ostrom alá - a The Register által idézett Sawyer ugyanakkor ezzel együtt "komoly hanyagságról" beszél a Foxconn részéről. A sebezhetőség egy a gyártó bootloader-kódjában felejtett, debugging függvény eredménye, amelynek segítségével megkerülhető a SELinux Android biztonsági réteg, és teljes, root hozzáférés szerezhető a megcélzott telefonon, a felhasználó bármilyen azonosítása nélkül.

Színfalak mögött: így épül egy szoftverfejlesztő iroda

Betekintést nyújtunk olyan folyamatokba, melyek sokszor teljesen láthatatlanok a munkavállalók számára.

Színfalak mögött: így épül egy szoftverfejlesztő iroda Betekintést nyújtunk olyan folyamatokba, melyek sokszor teljesen láthatatlanok a munkavállalók számára.

Miután kihasználásához aránylag hosszú ideig tartó fizikai hozzáférésre van szükség a készülékhez, nem is feltétlenül csak a bűnözők, de akár törvényszéki szakértők számára is hasznosnak bizonyulhat, akik segítségével értékes adatokat is szerezhetnek a gyanúsítottak telefonjáról - de a módszer a titkosítási kulcsok kinyeréséhez vagy a bootloader megnyitásához is bevethető, anélkül, hogy a felhasználói adatok sérülnének.

A biztonsági rés többek között a tavaly Kickstarteren elhíresült Nextbit Robin okostelefont érintette, legalábbis felfedezésekor, a készülék fejlesztőcsapata ugyanis nagyjából két hónap alatt befoltozta a hibát az eszközön. A sérülékenység a Nextbit mellett az InFocus vállalat egyes okostelefonjaiban is megtalálható - a javítás itt még várat magára - a szakértő szerint azonban valószínűleg még számos egyéb cég logóját viselő készülékekben is ott van. Sawyer a hiba kapcsán még augusztusban kapcsolatba lépett a Google androidos biztonsági csapatával, és arra kérte őket, gyakoroljanak nyomást a Foxconnra annak kijavítására.

A kraftie a HWSW IT-karrierrel foglalkozó, immár sok tízezer IT szakembert mozgató meetup- és podcast-sorozata. Mostantól pedig már egy hírlevél is! Iratkozz fel Te is, ha szeretnél heti egyszer egy rövid, de értékes karrierfókuszú tartalmat kapni.

a címlapról