První bezpečnostní chyba
archiv
Tak to vypadá, že pánove z ISE (Independent Security Evaluations) „odhalili“ první bezpečnostní chybu v platformě Android. Konkrétně jde o již dříve známý problém ve webovém prohlížeči založeném na jádře WebKit.
Pokud uživatel telefonu vstoupí na zákeřnou stránku, je možné (již existujícím, ale nepublikovaným) exploitem spustit kód s právy prohlížeče. Výhodou Androidu ovšem je, že touto cestou je možné zneužít opravdu jen data prohlížeče (i když i ta mohou být někdy poměrně citlivá) – tedy například cookies, uložená hesla či historii navštívených stránek. Ke kontaktům, odesílání SMS apod. tedy není možné se touto cestou dostat.
Exploit založený na stejném principu byl nedávno představen i pro iPhone, kde je ovšem situace o poznání horší – v jeho operačním systému není tak promyšelný security model (resp. sandboxing aplikací) a je proto možné i zneužití dat jiných aplikací, ne jen browseru.
A proč chyba vznikla? Hlavní problém je v tom, že do Androidu nebyla nasazena nejaktuálnější verze WebKitu, ale verze „trošku starší“ a stabilní. Proto se chyba objevila i přesto, že v samotném jádře je již opravena. Na updatu WebKitu v Androidu se už ovšem intenzivně pracuje, takže je pouze otázkou dní (nebo hodin? :) kdy bude vše vyřešeno.
David Trlica
Komentáře (0)
Přidat komentář