Exploit do otwierania tylnych drzwi w telefonach z Androidem

Specjaliści od zabezpieczeń z firmy Alert Logic opublikowali exploit, który otwiera tylną furtkę na smartfonach z systemem Android. Cyberprzestępcy mogliby w ten sposób przejąć kontrolę nad wybranym urządzeniem i zainstalować na nim trojana. Wystarczy, że ofiara wywoła odpowiednio spreparowaną stronę WWW.

Exploit do otwierania tylnych drzwi w telefonach z Androidem
1

Specjaliści od zabezpieczeń z firmy Alert Logic opublikowali exploit, który otwiera tylną furtkę na smartfonach z systemem Android. Cyberprzestępcy mogliby w ten sposób przejąć kontrolę nad wybranym urządzeniem i zainstalować na nim trojana. Wystarczy, że ofiara wywoła odpowiednio spreparowaną stronę WWW.

W celach demonstracyjnych exploit otworzy tylne drzwi jedynie w przypadku ustawionego na stałe adresu IP 10.0.2.2 na porcie 2222. Tym samym jest on praktycznie bezwartościowy dla skryptowych nowicjuszy (script kiddies), natomiast doświadczeni crackerzy mogą stosunkowo łatwo dostosować kod powłoki do własnych potrzeb. W teście przeprowadzonym przez redakcję heise Security na smartfonie HTC Wildfire (Android 2.1. doszło jednak tylko do zawieszenia pracy przeglądarki. Według oficjalnych informacji exploit został pomyślnie przetestowany również na urządzeniu Motorola Droid 2.0.1, 2.1 oraz z emulacją wydań 2.0–2.1.

Jak podaje Alert Logic, exploit wykorzystuje znaną od dawna lukę w przeglądarkowym frameworku WebKit, a pierwotnie został stworzony tylko z myślą o apple'owskim Safari i dystrybucji Ubuntu. Jednakże WebKit znajduje również zastosowanie w Chromie i Androidzie autorstwa Google'a. Co prawda lukę usunięto już w Androidzie 2.2, ale według szacunków koncernu z Mountain View dopiero około 37 procent urządzeń ma zainstalowaną tę edycję systemu.

Ponieważ Google nigdy nie informuje o zamkniętych lukach w Androidzie, użytkownicy są nieświadomi ewentualnych zagrożeń. Nie wiadomo, dlaczego koncern zataja te informacje. Kilka prób uzyskania odpowiedzi w tej sprawie zakończyło się niepowodzeniem. Być może wyszukiwarkowy gigant nie publikuje owych informacji przez wzgląd na producentów smartfonów, którzy i tak są opóźnieni z uaktualnieniami wersji Androida dostosowanych do własnego sprzętu o całe miesiące w stosunku do oficjalnych wydań systemu. Według doniesień mediów Alert Logic chce swoim exploitem zwrócić uwagę na tę szkodliwą praktykę.

wydanie internetowe www.heise-online.pl

1

Wybrane dla Ciebie

Modernizacji nad Adriatykiem ciąg dalszy. Czas na CAESAR-y i SAMP/T
Modernizacji nad Adriatykiem ciąg dalszy. Czas na CAESAR-y i SAMP/T
Rosja gromadzi siły przy granicy z Finlandią. Satelity wykryły rozbudowę baz
Rosja gromadzi siły przy granicy z Finlandią. Satelity wykryły rozbudowę baz
Indie zdobyły "militarne złoto". Tej broni boją się nawet Amerykanie
Indie zdobyły "militarne złoto". Tej broni boją się nawet Amerykanie
Polski astronauta poleci na ISS. Przyznał ile trwają przygotowania
Polski astronauta poleci na ISS. Przyznał ile trwają przygotowania
"Żelazna Dywizja" sprawdza nową broń. Sięgnie bardzo daleko
"Żelazna Dywizja" sprawdza nową broń. Sięgnie bardzo daleko
Pobór do wojska i wydatki na obronność według kandydatów na prezydenta
Pobór do wojska i wydatki na obronność według kandydatów na prezydenta
To jednak nie woda. Wyjaśnienie tajemniczych struktur na Marsie
To jednak nie woda. Wyjaśnienie tajemniczych struktur na Marsie
Indie tracą satelitę radarowego. Kluczowy sprzęt wojskowy nie dotarł na orbitę
Indie tracą satelitę radarowego. Kluczowy sprzęt wojskowy nie dotarł na orbitę
Odkrycie w kosmosie. Nieznany organizm na chińskiej stacji
Odkrycie w kosmosie. Nieznany organizm na chińskiej stacji
Wzbije się w powietrze. Czegoś takiego świat nie widział
Wzbije się w powietrze. Czegoś takiego świat nie widział
Prototypowy czołg Belgii dla Ukraińców. Trafi na testy
Prototypowy czołg Belgii dla Ukraińców. Trafi na testy
Powstał dom przyszłości. Zasilany wyłącznie wodorem i fotowoltaiką
Powstał dom przyszłości. Zasilany wyłącznie wodorem i fotowoltaiką