Exploit do otwierania tylnych drzwi w telefonach z Androidem
Specjaliści od zabezpieczeń z firmy Alert Logic opublikowali exploit, który otwiera tylną furtkę na smartfonach z systemem Android. Cyberprzestępcy mogliby w ten sposób przejąć kontrolę nad wybranym urządzeniem i zainstalować na nim trojana. Wystarczy, że ofiara wywoła odpowiednio spreparowaną stronę WWW.
Specjaliści od zabezpieczeń z firmy Alert Logic opublikowali exploit, który otwiera tylną furtkę na smartfonach z systemem Android. Cyberprzestępcy mogliby w ten sposób przejąć kontrolę nad wybranym urządzeniem i zainstalować na nim trojana. Wystarczy, że ofiara wywoła odpowiednio spreparowaną stronę WWW.
W celach demonstracyjnych exploit otworzy tylne drzwi jedynie w przypadku ustawionego na stałe adresu IP 10.0.2.2 na porcie 2222. Tym samym jest on praktycznie bezwartościowy dla skryptowych nowicjuszy (script kiddies), natomiast doświadczeni crackerzy mogą stosunkowo łatwo dostosować kod powłoki do własnych potrzeb. W teście przeprowadzonym przez redakcję heise Security na smartfonie HTC Wildfire (Android 2.1. doszło jednak tylko do zawieszenia pracy przeglądarki. Według oficjalnych informacji exploit został pomyślnie przetestowany również na urządzeniu Motorola Droid 2.0.1, 2.1 oraz z emulacją wydań 2.0–2.1.
Jak podaje Alert Logic, exploit wykorzystuje znaną od dawna lukę w przeglądarkowym frameworku WebKit, a pierwotnie został stworzony tylko z myślą o apple'owskim Safari i dystrybucji Ubuntu. Jednakże WebKit znajduje również zastosowanie w Chromie i Androidzie autorstwa Google'a. Co prawda lukę usunięto już w Androidzie 2.2, ale według szacunków koncernu z Mountain View dopiero około 37 procent urządzeń ma zainstalowaną tę edycję systemu.
Ponieważ Google nigdy nie informuje o zamkniętych lukach w Androidzie, użytkownicy są nieświadomi ewentualnych zagrożeń. Nie wiadomo, dlaczego koncern zataja te informacje. Kilka prób uzyskania odpowiedzi w tej sprawie zakończyło się niepowodzeniem. Być może wyszukiwarkowy gigant nie publikuje owych informacji przez wzgląd na producentów smartfonów, którzy i tak są opóźnieni z uaktualnieniami wersji Androida dostosowanych do własnego sprzętu o całe miesiące w stosunku do oficjalnych wydań systemu. Według doniesień mediów Alert Logic chce swoim exploitem zwrócić uwagę na tę szkodliwą praktykę.
wydanie internetowe www.heise-online.pl
