Hlavní navigace

Miliony smartphonů v ohrožení? Chyba v Androidu je vážná, ale senzace se nekoná

Daniel Dočekal

Bluebox Security zveřejnili ve středu informaci o možném objevení univerzálního klíče, který umožňuje obejít šifrování balíčků aplikací na Androidu.

Bluebox Security v UNCOVERING ANDROID MASTER KEY THAT MAKES 99% OF DEVICES VULNERABLE upozorňují, že se jim velmi pravděpodobně podařilo objevit „master key“ (univerzální klíč) používaný v bezpečnostním modelu zajišťujícím identifikaci aplikačních balíčků. Zjištěná chyba umožňuje vzít „existující“ aplikační balíček (APK) a bez porušení kryptografického podpisu do něj podvrhnout vlastní škodlivý kód.

Než začnete brát vážně titulky jako Milióny smartphonů a tabletů v ohrožení, hackeři je mohou ovládat na dálku, uvědomte si, že některá média uvítají cokoliv, co lze proměnit v senzaci. Senzace se nekoná, telefony s Androidem samy o sobě na dálku ovládat nejde. Novináři v podobných textech zamlčují to nejpodstatnější – aby hackeři mohli chybu využít, je nutné, aby jim do nich jejich vlastníci umožnili přístup a nainstalovali si jejich software.

Podle objevitelů je bezpečnostní problém přítomen v Androidu od verze 1.6 (Donut) a týká se tedy telefonů a tabletů vypuštěných na trh za poslední čtyři roky, tedy až 900 milionů zařízení. Ve spojení s aplikacemi přímo do výrobců telefonů je pak možné, aby útočník získal kompletní přístup ke všemu, co je v telefonu dostupné.

Malware si musíte sami nainstalovat

Je nicméně stále nutné, aby se takto upravená aplikace dostala do mobilního telefonu. Což v praxi stále znamená, že je nutné, aby uživatel aplikaci nainstaloval, ať už stažením z Google Play (kam by mohla být podvržena, ale viz dále) nebo z jiného zdroje. 

Riziko instalace malwaru či spywaru je tak stále stejné, jako kdyby žádná bezpečnostní chyba neexistovala. Podstatné ale je, že prostřednictvím specifických „systémových“ aplikací by se útočník mohl dostat podstatně dál, než tomu bylo doposud možné, a to je jediný podstatný a neopomenutelný rozdíl.

Chyba se týká mechanismu, pomocí kterého Android určuje, zda je aplikace legitimní a zda nebyla nějak pozměněná – k tomu slouží kryptografický podpis. Prostřednictvím objevené chyby je ale možné do již podepsaného aplikačního balíčku vložit vlastní kód. K porušení podpisu přitom nedojde. Pokud by útočník využil některé ze „systémových“ aplikací, získal by tak prakticky „root“ přístup.

Získat podobně pozměněnou aplikaci z Google Play by nicméně nemělo být možné. Google uvádí, že proces přijetí aplikace do Google Play brání tomu, aby bylo možné takovouto aplikací podvrhnout. Zbývá tedy pouze ruční instalace z jiných zdrojů. A zde je vhodné připomenout, že telefony a tablety s Androidem mají od počátku tento druh instalace vypnutý. V nastavení je to ale samozřejmě možné povolit. A pak je samozřejmě možné „chytit“ leccos.

Bluebox Security uvádí, že Google byl o chybě vyrozuměn v únoru 2013 a obrana proti ní spočívá hlavně v tom, že jednotliví výrobci zařízení s Androidem musí vydat aktualizace, které chybu odstraní. Zda a jak k tomu dojde, známo není, nicméně někteří z výrobců prý již opravu vydanou mají (jmenován je konkrétně Samsung a Galaxy S4). Google se navíc k objevené chybě prozatím nijak konkrétně nevyjádřil.

Rekapitulace

Bezpečnostní nedostatek nejspíš existuje a bude nutné, aby byl systémově vyřešen. Je trochu škoda, že od února tohoto roku Google nic viditelného nepodnikl. 

KL17_hlasovani

Aby útočník mohl tuto chybu využít, je nutné aby si uživatel o vlastní vůli nahrál do telefonu škodlivou aplikaci. Z Google Play si ji nahrát nemůže, takže instalaci aplikací nejprve musí povolit a poté ji pořídit z jiného zdroje.

Riziko nakažení telefonu při instalaci z dalších zdrojů existuje stále a vždy existovat bude. Riziko ovšem zvyšujete i tím, že si „rootnete“ telefon, a přesto to lidé dělají (a dělat budou). Běžní uživatelé nikoliv, takže žádné „stovky milionů napadnutelných zařízení“ se nekonají.

Našli jste v článku chybu?