Naukowcy odkryli dwie groźne luki w Androidzie. 88% urządzeń podatnych na atak

O autorze

Tomek Kondrat

@eagleeyetom

Polski rodzynek wśród moderatorów XDA, zatwardziały użytkownik Androida i Linuxa. Fan post rocka i Manchesteru United.

Naukowcy niemieckiej firmy Curesec odkryli luki obecne w większości wersji systemu Android. Pozwalają one złośliwym aplikacjom na wykonywanie połączeń telefonicznych nawet w przypadku braku wymaganych uprawnień. Nieświadomi użytkownicy mogą być narażeni na bardzo wysokie rachunki telefoniczne i inne niebezpieczeństwa.

Eksploit może być wykorzystany do łączenia się z numerami PRM (usługa z opłatą dodatkową). Aplikacje wykorzystujące luki są w stanie również wysłać kod USSD (Unstructured Supplementary Service Data), który jest w stanie przekierować połączenie, zablokować kartę SIM, zmienić opcje prezentacji numeru itp. Nawet aplikacje pozwalające na zarządzanie uprawnieniami jak moduł XPrivacy nie są w stanie zablokować złośliwego oprogramowania przed użyciem luk, gdyż obchodzą one cały system uprawnień.

Zagrożenia są dostępne na różnych wersjach systemu. Curesec odkrył dwie luki, których wykorzystanie daje ten sam rezultat. Pierwsza z nich, CVE-2013-6272, pojawiła się wraz z premierą Androida 4.1.1 Jelly Bean i jest dostępna w kolejnych wersjach aż do 4.4.2 KitKat włącznie. Curesec poinformował, że najnowsza wersja 4.4.4 jest wolna od tego zagrożenia, jednak tylko nieznaczna część urządzeń działa pod kontrolą najnowszej wersji Androida.

Druga luka CVE-2014-N/A znajduje się w starszych wersjach systemu, mianowicie Androidzie 2.3.3 i 2.3.6. Została ona naprawiona wraz z premierą Honeycomba, który był systemem tylko dla tabletów. Następca Gingerbreada na telefonach – Ice Cream Sandwich – jest należycie zabezpieczony. Android 4.0 jest najbezpieczniejszą wersją tego systemu, jednak jest on zainstalowany na 11,4% urządzeń. Niemal 88% urządzeń jest podatna na ataki z użyciem malware manipulującym aplikacją telefonu.

Curesec upublicznił próbki kodu oraz aplikacje testowe, które w oczywisty sposób nie pobiorą środków z konta. Można jednak za ich pomocą sprawdzić, czy urządzenie jest podatne na ataki. Urządzenia ze wsparciem systemu KitKata powinny otrzymać aktualizację do 4.4.4 w ciągu kilku najbliższych tygodni. Starsze telefony i tablety pozostają jednak na lodzie, a ich posiadacze powinni podchodzić do instalacji każdej aplikacji z rozsądkiem.