Naukowcy odkryli dwie groźne luki w Androidzie. 88% urządzeń podatnych na atak Strona główna Aktualności09.07.2014 20:18 Udostępnij: O autorze Tomek Kondrat @eagleeyetom Naukowcy niemieckiej firmy Curesec odkryli luki obecne w większości wersji systemu Android. Pozwalają one złośliwym aplikacjom na wykonywanie połączeń telefonicznych nawet w przypadku braku wymaganych uprawnień. Nieświadomi użytkownicy mogą być narażeni na bardzo wysokie rachunki telefoniczne i inne niebezpieczeństwa. Eksploit może być wykorzystany do łączenia się z numerami PRM (usługa z opłatą dodatkową). Aplikacje wykorzystujące luki są w stanie również wysłać kod USSD (Unstructured Supplementary Service Data), który jest w stanie przekierować połączenie, zablokować kartę SIM, zmienić opcje prezentacji numeru itp. Nawet aplikacje pozwalające na zarządzanie uprawnieniami jak moduł XPrivacy nie są w stanie zablokować złośliwego oprogramowania przed użyciem luk, gdyż obchodzą one cały system uprawnień. Zagrożenia są dostępne na różnych wersjach systemu. Curesec odkrył dwie luki, których wykorzystanie daje ten sam rezultat. Pierwsza z nich, CVE-2013-6272, pojawiła się wraz z premierą Androida 4.1.1 Jelly Bean i jest dostępna w kolejnych wersjach aż do 4.4.2 KitKat włącznie. Curesec poinformował, że najnowsza wersja 4.4.4 jest wolna od tego zagrożenia, jednak tylko nieznaczna część urządzeń działa pod kontrolą najnowszej wersji Androida. Druga luka CVE-2014-N/A znajduje się w starszych wersjach systemu, mianowicie Androidzie 2.3.3 i 2.3.6. Została ona naprawiona wraz z premierą Honeycomba, który był systemem tylko dla tabletów. Następca Gingerbreada na telefonach – Ice Cream Sandwich – jest należycie zabezpieczony. Android 4.0 jest najbezpieczniejszą wersją tego systemu, jednak jest on zainstalowany na 11,4% urządzeń. Niemal 88% urządzeń jest podatna na ataki z użyciem malware manipulującym aplikacją telefonu. Curesec upublicznił próbki kodu oraz aplikacje testowe, które w oczywisty sposób nie pobiorą środków z konta. Można jednak za ich pomocą sprawdzić, czy urządzenie jest podatne na ataki. Urządzenia ze wsparciem systemu KitKata powinny otrzymać aktualizację do 4.4.4 w ciągu kilku najbliższych tygodni. Starsze telefony i tablety pozostają jednak na lodzie, a ich posiadacze powinni podchodzić do instalacji każdej aplikacji z rozsądkiem. Oprogramowanie Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Dane milionów użytkowników popularnej dystrybucji Androida możliwe do przejęcia przez hakerów 16 paź 2014 Tomek Kondrat Oprogramowanie 36 Korzystasz z wbudowanej przeglądarki na Androidzie? Możesz stać się ofiarą ataku 17 wrz 2014 Łukasz Tkacz Oprogramowanie 25 Samochody autonomiczne mogą mieć poważne problemy z bezpieczeństwem 22 paź 2018 Kamil Rogala Bezpieczeństwo TechMoto 20 Aktualizacje aplikacji na Androidzie: niedługo także wtedy, kiedy akurat z nich korzystasz 8 lis 2018 Oskar Ziomek Oprogramowanie 18
Udostępnij: O autorze Tomek Kondrat @eagleeyetom Naukowcy niemieckiej firmy Curesec odkryli luki obecne w większości wersji systemu Android. Pozwalają one złośliwym aplikacjom na wykonywanie połączeń telefonicznych nawet w przypadku braku wymaganych uprawnień. Nieświadomi użytkownicy mogą być narażeni na bardzo wysokie rachunki telefoniczne i inne niebezpieczeństwa. Eksploit może być wykorzystany do łączenia się z numerami PRM (usługa z opłatą dodatkową). Aplikacje wykorzystujące luki są w stanie również wysłać kod USSD (Unstructured Supplementary Service Data), który jest w stanie przekierować połączenie, zablokować kartę SIM, zmienić opcje prezentacji numeru itp. Nawet aplikacje pozwalające na zarządzanie uprawnieniami jak moduł XPrivacy nie są w stanie zablokować złośliwego oprogramowania przed użyciem luk, gdyż obchodzą one cały system uprawnień. Zagrożenia są dostępne na różnych wersjach systemu. Curesec odkrył dwie luki, których wykorzystanie daje ten sam rezultat. Pierwsza z nich, CVE-2013-6272, pojawiła się wraz z premierą Androida 4.1.1 Jelly Bean i jest dostępna w kolejnych wersjach aż do 4.4.2 KitKat włącznie. Curesec poinformował, że najnowsza wersja 4.4.4 jest wolna od tego zagrożenia, jednak tylko nieznaczna część urządzeń działa pod kontrolą najnowszej wersji Androida. Druga luka CVE-2014-N/A znajduje się w starszych wersjach systemu, mianowicie Androidzie 2.3.3 i 2.3.6. Została ona naprawiona wraz z premierą Honeycomba, który był systemem tylko dla tabletów. Następca Gingerbreada na telefonach – Ice Cream Sandwich – jest należycie zabezpieczony. Android 4.0 jest najbezpieczniejszą wersją tego systemu, jednak jest on zainstalowany na 11,4% urządzeń. Niemal 88% urządzeń jest podatna na ataki z użyciem malware manipulującym aplikacją telefonu. Curesec upublicznił próbki kodu oraz aplikacje testowe, które w oczywisty sposób nie pobiorą środków z konta. Można jednak za ich pomocą sprawdzić, czy urządzenie jest podatne na ataki. Urządzenia ze wsparciem systemu KitKata powinny otrzymać aktualizację do 4.4.4 w ciągu kilku najbliższych tygodni. Starsze telefony i tablety pozostają jednak na lodzie, a ich posiadacze powinni podchodzić do instalacji każdej aplikacji z rozsądkiem. Oprogramowanie Udostępnij: © dobreprogramy Zgłoś błąd w publikacji