Hackerská konference odhalila bezpečnostní díry v Obchodě Play, NFC a další zranitelnosti

DÁREK ZA 5 999 Kč: Kupte si Huawei P30 / P30 Pro a získejte chytré hodinky Huawei Watch GT

reklama

Odborníci na hacking ukázali způsoby, jak zaútočit na chytré telefony s Androidem pomocí metod, které fungují na téměř všech dnešních zařízeních. Ukázali také, že nedávné úsilí vyhledávače Google o zvýšení ochrany není nepřekonatelné.

Překvapení: Kupte si Huawei P30 / P30 Pro a získejte chytré hodinky Huawei Watch GT

reklama

Odborníci předváděli své schopnosti na konferenci Black Hat 2012 v Las Vegas, které se zúčastnilo bezmála sedm tisíc firemních a státních zaměstnanců, zabývajících se bezpečnostními technologiemi, aby se dozvěděli o nových hrozbách, ohrožujících jejich sítě a zařízení.

„Google udělal pokrok, ale autoři škodlivého softwaru mají náskok,“ řekl Sean Schulte z Trustwave SpiderLabs.

Mluvčí Google Gina Scigliano odmítla prezentované výsledky komentovat v obavách o bezpečnost nebo probíhající výzkum.

Bezpečnostní expert Charlie Miller ze společnosti Accuvant demonstroval způsob doručení škodlivého kódu na Android telefony pomocí funkce NFC. Podstata tkví v zařízení o velikosti poštovní známky, které by mohlo být umístěno na nenápadném místě, např. v blízkosti pokladny či NFC čtečky. K nakažení telefonu s Androidem by údajně mohlo dojít při průchodu kolem, nebo při placení.

Miller pracoval pět let jako síťový analytik americké Národní bezpečnostní agentury, kde k jeho úkolům patřilo prolamování do cizích počítačových systémů.

Android jako „Divoký západ“

Miller spolu s dalším expertem na hackování – Georgem Wicherskim z CrowdStrike – také infikovali telefon s Androidem škodlivým kódem skrze chybu, kterou Wicherski odhalil v únoru.

Google chybu v Chrome, který je často aktualizován, opravil, takže uživatelé s nejnovějším Androidem jsou nyní v bezpečí. Podle Wicherskiho je ale většina uživatelů Androidu stále v ohrožení, protože mnozí operátoři a výrobci zařízení nevydali aktualizace s touto opravou.

Obnovení továrního nastavení nemaže všechna data. Víme, jak to vyřešit!

Zprávičky Karel Kilián

Marc Maiffret, technologický ředitel bezpečnostní firmy BeyondTrust, řekl: „Google přidal několik skvělých funkcí zabezpečení, ale nikdo je nemá.“

Odborníci tvrdí, že konkurenční iPhone a iPad stejnému problému čelit nemusí, protože Apple je schopen přimět operátory, aby uvolnili aktualizace zabezpečení poměrně rychle po jejich vydání.

Dva vědci z Trustwave účastníkům představili techniku, jak se vyhnout technologii Google Bouncer pro identifikaci nebezpečných programů v Obchodě Google.

Vytvořili aplikaci pro blokování textových zpráv, využívající legitimní programovací nástroj, známý jako Java Script bridge. Java Script bridge umožňuje vývojářům vzdáleně přidat nové funkce do programu bez použití běžné systémové aktualizace.

Tuto metodu používají například aplikace Facebooku a LinkedIn pro korektní účely, nicméně podle Trustwave může být také zneužita.

Aby dokázali svá slova, načetli škodlivý kód na jeden ze svých telefonů a na dálku získali kontrolu nad prohlížečem. Ten pak mohli přinutit ke stažení dalšího kódu, který poskytne úplnou kontrolu nad telefonem.

„Doufejme, že Google dokáže problémy rychle vyřešit,“ řekl Nicholas Percoco, viceprezident SpiderLabs Trustwave. „Nyní je Android jako Divoký západ.“

Zdroje: Reuters a Android Phone Fans.