Objavljeno: 25.7.2013 10:00

Android, potencialno virusno leglo

V začetku meseca so raziskovalci podjetja Bluebox zapisali, da so v bolj ali manj vseh različicah operacijskega sistema Android zaznali varnostno luknjo »Master Key vulnerability«, ki hekerjem omogoča, da legalnim aplikacijam »prilepijo« trojanca, s katerim lahko nato počnejo vse, kar danes trojanci pač počnejo (oddaljen nadzor telefona, pošiljanje SMSov na plačljive številke, itd.). Danes varnostno podjetje Symantec poroča, da so našli že kar nekaj legalnih aplikacij na nekem kitajskem »marketu«, ki so okužene na ta način.

Aplikacije za android so kriptografsko podpisane, tako da jih je nemogoče naknadno spreminjati in jim dodajati zlobno kodo, kot je to še vedno mogoče v Windows programih (pozor na piratske razne generatorjev ključev…). Z odkrito luknjo se to vendarle da narediti in kot kaže, hekerji v tej smeri niso izgubljali časa. Seveda na ta način aplikacij ne bomo (več) našli na uradni Googlovi trgovini Play, lahko pa jih dobimo prek kake druge trgovine oz. neposredno, prek namestitve datoteke APK, ki smo jo našli na spletni strani.

Popravek te napake je sicer trivialen in Google je zanj menda porabil le bori dve vrstici programske kode. Težava je v tem, da je v trenutni fragmentaciji Androida težko pričakovati, da bi popravek do večine uporabnikov pripotoval v doglednem času. Popravki oz. nove različice Androida na telefone prihajajo prek proizvajalcev telefonov, večinoma še z dodatnim posredništvom mobilnih operaterjev in to pač traja. Kadar in če popravki sploh pridejo, seveda. Centraliziranost sistema, kot ga ima iPhonov ekosistem, je v tem primeru velika prednost, saj bi podoben popravek Apple brez težav takoj poslal na vse svoje iPhone, če bi bilo treba.

Če vas zanima, ali ima tudi vaš telefon omenjeno luknjo, lahko preverite s to aplikacijo.

Bluebox

Symantec

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!

Komentirajo lahko le prijavljeni uporabniki

 
  • Polja označena z * je potrebno obvezno izpolniti
  • Pošlji