Luki w nowoczesnych telefonach

W rozmowie z PC Pro szef specjalizującej się w bezpieczeństwie firmy MWR Alex Fidgen ujawnił szczegóły najprawdopodobniej już naprawionej luki w Palmie Pre i Androidzie.

Według informacji Fidgena otwieranie odpowiednio spreparowanych wizytówek vCard (wysyłanych jako załączniki do e-maili) mogło w Palmie Pre skończyć się przemyceniem i uruchomieniem dowolnego kodu. W ten sposób możliwe było zdalne sterowanie urządzeniem albo też używanie go jako podsłuchu. Specjalista nie mówi, czy firmie MWR udało się to zademonstrować w praktyce.

Według eksperta, także google'owemu Androidowi można podsunąć szkodliwy kod przez lukę w silniku przeglądarki WebKit. Tym samym możliwe było odczytanie wszystkich loginów i haseł zapisanych w przeglądarce. W tym celu wystarczyło jedynie wywołanie odpowiednio spreparowanej strony.

Palm został powiadomiony o problemie w maju i usunął problem na początku czerwca w aktualizacji webOS-a 1.4.5. Z jakichś powodów jednak Fidgen w rozmowie z PC Pro twierdzi, że Palm nie zareagował - mimo, że na swojej stronie 7 czerwca MWR sama informuje, że patch jest już wydany.

Google usunął wspomnianą lukę w wydanym niedawno Androidzie 2.2 (Froyo). To jednak nic nie daje tym użytkownikom, u których producenci urządzeń albo operatorzy sieci komórkowej nie przygotowali dla urządzeń z Androidem aktualizacji do najnowszej wersji. Według Google'a obecnie 5% wszystkich komórek z Androidem (które komunikują się z Android Market) używa tego systemu w wersji 2.2. Jednak i bez tego polityka aktualizacji Google'a jest mało przejrzysta: inaczej, niż w przypadku przeglądarki Chrome, producent prawie nigdy nie podaje informacji o znalezionych lukach w systemie. Poza tym, błąd ten dotyczy także innych platform, które używają WebKita jako podstawy dla ich przeglądarki. Nie wiadomo jednak, czy zalicza się do nich także iPhone z Safari.

wydanie internetowe www.heise-online.pl