Microsoft už delší dobu „fušuje“ do Androidu. Poté, co zavřel mobilní krám, se soustředí zejména na aplikace, Android nevyjímaje. Z Google Play si tak můžete stáhnout spoustu aplikací, pod které se podepsal americký softwarový gigant. V tomto kontextu tak vlastně ani příliš nepřekvapí, že sám Microsoft objevil na Androidu bezpečnostní chybu. Ve většině případů je už opravena, popř. se na její opravě usilovně pracuje.
Konkrétně se jedná o chybu frameworku od firmy MCE Systems, který byl a stále je využíván některými předinstalovanými aplikacemi od operátorů či aplikacemi, které umožňují vzdálený přístup k telefonu či autodiagnostiku. Framework má sám o sobě spoustu oprávnění, která jsou využita ke vzdálenému ovládání telefonu, a dále např. k úpravě hlasitosti, tichému focení, k záznamu GPS lokace či pro přístup ke konektivitě a souborů v systému, apod.
Jako ukázka možného zneužití sloužila injektáž JavaScriptu do prvku WebView, tato chyba už je naštěstí opravena
Microsoft ve frameworku narazil na chybu, resp. zadní vrátka, která mohla být využita útočníky pro prolomení přístupu do telefonu. Microsoftu jako důkaz stačilo provést injektáž JavaScript kódu. Framweork používal API, které bylo zavedeno v Androidu 5 a starších verzích, nově už přešel na variantu, která je proti podobným útokům imunní. Jinými slovy, k opravě zranitelnost již došlo, a pokud máte v Google Play zapnuté automatické aktualizace, neměli byste se ničeho obávat.
Je zajímavé sledovat, jak Microsoft hledá chyby v potenciálně konkurenčním mobilním systému. Mezi partnery MCE Systems patří mimo amerického giganta i značka HMD Global, která stojí za výrobou smartphonů Nokia, či Samsung. Mezi zákazníky firmy pak najdeme např. nadnárodní operátory O2, Vodafone a T-Mobile. Ve všech případech by měli být uživatelé v bezpečí, a k žádnému dalšímu potenciálnímu ohrožení dat nedojde. Jenže je otázka, kolik v Androidu ješrě existuje děr, o nichž zatím nikdo neví. Toto číslo si raději netroufáme ani odhadovat...
Zdroj Microsoft
