Uwaga! Duże zagrożenie dla właścicieli telefonów z Androidem

Źródło zdjęć: © vege - Fotolia.com

30.07.2014 10:53, aktualizacja: 30.07.2014 13:28

Jak ujawniła zajmująca się bezpieczeństwem firma Bluebox Security, używany w komórkach system operacyjny Android zawiera nieznaną dotychczas lukę bezpieczeństwa. Może ona pozwolić złośliwemu oprogramowaniu na uzyskanie dostępu do chronionych danych właściciela telefonu, w tym informacji finansowych. Co jeszcze bardziej szokujące, luka w oprogramowaniu pozostawała niewykryta przez ponad cztery lata!

Jak poinformowało Bluebox Security na swoim blogu, luka obecna jest w telefonach z oprogramowaniem Google od jego wersji 2.1, która ukazała się w styczniu 2010. Związana jest ona ze sposobem, w jaki system operacyjny sprawdza prawa dostępu poszczególnych aplikacji. Okazało się, że istnieje sposób na łatwe "podszycie się" złośliwego oprogramowania pod inne, powszechnie stosowane aplikacje i tym samym odczytanie danych, teoretycznie zarezerwowanych tylko dla nich. Jest to możliwe dlatego, że Android nie sprawdza, czy identyfikator, jakim posługuje się aplikacja prosząca o dostęp do jakichś danych, jest autentyczny. Stąd szybko nadana błędowi nazwa – "Fake ID" (_ fałszywy dowód tożsamości _).

Potencjalnie najgroźniejszym zastosowaniem luki miałoby być stworzenie złośliwego oprogramowania, skutecznie udającego Google Wallet. Ta popularna aplikacja ułatwia dokonywanie płatności online i w tym celu ma zarezerwowany dostęp do np. danych karty kredytowej użytkownika. Pytanie, czy tacy "złodzieje" faktycznie powstali. Tutaj specjaliści uspokajają, że chociaż błąd był w systemie był obecny od bardzo dawna, to skoro pozostawał nieznany dla producenta i firm zajmujących się bezpieczeństwem, to najprawdopodobniej nie wiedzieli o nim również hakerzy. Potencjalnego niebezpieczeństwa nie da się jednak całkowicie wykluczyć.

Jak podaje Jeff Forristal, dyrektor ds. technologii w Bluebox Security, samo odkrycie miało miejsce 31 marca tego roku i jego szczegóły zostały w pierwszej kolejności przekazane Google'owi. Firma podziękowała teraz publicznie Blueboxowi za odpowiedzialne działanie i szybkie zgłoszenie luki.

- Obserwacje prowadzone przez niezależne od nas podmioty to jeden z czynników, dzięki którym Android staje się coraz lepszy dla użytkowników – stwierdził przedstawiciel technologicznego giganta.

Google poinformowało również, że odpowiednia poprawka została bardzo szybko, bo już w kwietniu, wysłana do partnerów i Android Open Source Project. Producenci telefonów z Androidem dostali ją wraz z 90 dniami na wprowadzenie przed publicznym ujawnieniem informacji o błędzie. Nieco mniej optymistycznie brzmi informacja, że z 40 popularnych telefonów, jakie przetestowało niedawno Bluebox, do teraz poprawkę umieszczono jedynie w jednym…

W tej sytuacji uspokajające powinny być dalsze słowa przedstawicieli Google, którzy zapewniają, że w Google Play Store nie znajdują się żadne aplikacje, wykorzystujące tę lukę. Firma przeskanowała pod tym kątem wszystkie dostępne w nim programy, po czym wprowadziła dodatkowe obostrzenia w weryfikacji nowych. Właściciele telefonów z Androidem, którzy pozostali przy korzystaniu wyłącznie z oficjalnego źródła powinni więc być bezpieczni.

Pozostali, którzy nie mają dostępu do Google Play Store lub też z własnego wyboru instalowali aplikacje z innych źródeł, powinni jednak dla pełnego bezpieczeństwa zainstalować na swoim telefonie oprogramowanie antywirusowe. Na razie nie ma wprawdzie powodów, by przypuszczać, że luka została przez kogoś wykorzystana, albo przynajmniej wykorzystana na szeroką skalę, ale w takiej sytuacji zdecydowanie lepiej dmuchać na zimne.