Hlavní navigace

Google opravil bezpečnostní díru, která umožňuje hacknout Android zařízení

Martin Vyleťal

Zranitelnost využívá způsobu, jakým je ověřována autenticita instalovaných aplikací. Bluebox Security zjistila, že aplikace je možné upravovat, aniž by došlo k poškození jejich podpisu.

Minulý týden společnost Bluebox Security na svém blogu zveřejnila zprávu, ve které tvrdí, že se jí podařilo odhalit bezpečnostní díru v operačním systému Android, která potenciálně ohrožuje 99 procent zařízení s tímto operačním systémem (zhruba 900 milionů zařízení). Podle představitelů firmy je chyba v Androidu minimálně čtyři roky, tedy od spuštění verze 1.6 Donut.

Chyba, která teoreticky umožňuje útočníkům ukrást z napadeného zařízení data, případně nad ním získat plnou kontrolu, využívá způsobu jakým je u aplikace pro Android ověřována jejich autenticita. Lidé z Bluebox Security zjistili, že chyba umožňuje útočníkovi upravit soubor APK, aniž by došlo k poškození digitální podpisu.

Ten si Android u každé stažené aplikace uloží a při jakékoliv aktualizaci následně ověřuje, zdali i aktualizace má stejný digitální podpis a pochází tak od stejného autora. Chyba ale umožňuje útočníkům aplikaci upravit, aniž by došlo k poškození podpisu.

Google se o existenci problému dozvěděl už v únoru a začal pracovat na nápravě. Tisková mluvčí firmy Gina Scigliano potvrdila, že výrobci mobilních zařízení už mají k dispozici záplatu, která chybu opravuje. Někteří výrobci, jako například Samsung, už tuto záplatu začali distribuovat, uvedla Scigliano. Současně dodala, že Google nezaregistroval žádnou aktivitu, která by prostřednictvím Google Play nebo dalších app store využívala této zranitelnosti. 

Zdroj: ZDNet

Našli jste v článku chybu?