Microsoft odhalil chybu v Androidu. Ukázalo se, jak nebezpečné je využívání API ze starých verzí systému

  • Microsoft v Androidu objevil kritickou zranitelnost
  • Týkala se frameworku, který výrobci používali u základních aplikací
  • Chyba je opravena, jenže kolik dalších děr Androidu ještě neznáme?

Microsoft už delší dobu „fušuje“ do Androidu. Poté, co zavřel mobilní krám, se soustředí zejména na aplikace, Android nevyjímaje. Z Google Play si tak můžete stáhnout spoustu aplikací, pod které se podepsal americký softwarový gigant. V tomto kontextu tak vlastně ani příliš nepřekvapí, že sám Microsoft objevil na Androidu bezpečnostní chybu. Ve většině případů je už opravena, popř. se na její opravě usilovně pracuje.

Konkrétně se jedná o chybu frameworku od firmy MCE Systems, který byl a stále je využíván některými předinstalovanými aplikacemi od operátorů či aplikacemi, které umožňují vzdálený přístup k telefonu či autodiagnostiku. Framework má sám o sobě spoustu oprávnění, která jsou využita ke vzdálenému ovládání telefonu, a dále např. k úpravě hlasitosti, tichému focení, k záznamu GPS lokace či pro přístup ke konektivitě a souborů v systému, apod.

Klepněte pro větší obrázek
Jako ukázka možného zneužití sloužila injektáž JavaScriptu do prvku WebView, tato chyba už je naštěstí opravena

Microsoft ve frameworku narazil na chybu, resp. zadní vrátka, která mohla být využita útočníky pro prolomení přístupu do telefonu. Microsoftu jako důkaz stačilo provést injektáž JavaScript kódu. Framweork používal API, které bylo zavedeno v Androidu 5 a starších verzích, nově už přešel na variantu, která je proti podobným útokům imunní. Jinými slovy, k opravě zranitelnost již došlo, a pokud máte v Google Play zapnuté automatické aktualizace, neměli byste se ničeho obávat.

Je zajímavé sledovat, jak Microsoft hledá chyby v potenciálně konkurenčním mobilním systému. Mezi partnery MCE Systems patří mimo amerického giganta i značka HMD Global, která stojí za výrobou smartphonů Nokia, či Samsung. Mezi zákazníky firmy pak najdeme např. nadnárodní operátory O2, Vodafone a T-Mobile. Ve všech případech by měli být uživatelé v bezpečí, a k žádnému dalšímu potenciálnímu ohrožení dat nedojde. Jenže je otázka, kolik v Androidu ješrě existuje děr, o nichž zatím nikdo neví. Toto číslo si raději netroufáme ani odhadovat...

Zdroj Microsoft

Diskuze (5) Další článek: Apple chce, aby šlo zařízení měnit snadno jako boty. Data budou nahraná, jen co vezmete mobil do ruky

Témata článku: Google, Microsoft, O2, Samsung, T-Mobile, Vodafone, , , , , , , , , , API, Úkaz, Mic, Možné zneužití, WebView, Díra, Aplikace, Verze systému, Využívání, JavaScript,