Dvě bezpečnostní díry umožňují instalaci škodlivých aplikací

AndroidInfected1-550×412

Asi před měsícem našli bezpečnostní experti Jon Oberheide a Zach Lanier dvě chyby v operačním systému Android, které nejsou dosud „zalepeny.“

První zranitelnost spočívá v povolení zvýšení práv, a podle dosavadních informací se týká všech verzí systému. Exploit dovoluje instalaci aplikace, aniž by po uživateli bylo vyžadováno obvyklé schválení oprávnění. Útočník může zneužít tuto chybu a získat po instalaci další práva.

Druhá trhlina je známa jako „zvýšení oprávnění k linuxovému jádru“ (Linux kernel privilege escalation) a umožňuje neprivilegovaným aplikacím zvýšit nebo získat oprávnění a tím i plnou kontrolu nad zařízením.

Jon Oberheide byl schopen nahrát aplikaci, která se tvářila jako datadisk k Angry Birds, na Android Market. Po stažení pak bez jakékoliv interakce s uživatelem byl tento „datadisk“ schopen nainstalovat další tři aplikace, které sledovaly kontakty, informace o poloze a textové zprávy. Tato data pak mohla být přenášena na vzdálený server.

Oberheide a jeho kolega Zach Lanier mají v plánu promluvit o těchto dírách na dvoudenním školení, které bude součástí konference SOURCE v Barceloně koncem tohoto roku.

Na následujícím videu můžete zhlédnout ukázku uvedených chyb na telefonu Nexus S.

http://www.youtube.com/watch?v=jmWR3vUq7Ww

Zdroj: Android Police.

Karel Kilián
O Autorovi - Karel Kilián

S překonanou čtyřicítkou je s náskokem nejstarším členem redakce :-). Před několika lety hypoteticky vymyslel operační systém svých snů, aby následně zjistil, že přesně na… více o autorovi

Mohlo by vás zajímat

Komentáře (6)