Posebej oblikovano sporočilo lahko trajno onesposobi telefone z Androidom

Za Androidom niso najboljši tedni, saj se kar vrstijo odkritja lukenj in varnostnih ranljivosti. Najnovejša je še posebej zahrbtna, saj lahko zgolj s prejemom primerno oblikovanega sporočila naš telefon trajno onesposobi, ne da bi sporočilo sploh odprli. Google je popravek že izdal, veliko vprašanje pa je, kdaj ga bodo v svojo kodo vključili vsi proizvajalci androidnih naprav.

Ranljivost CVE-2019-2232 se nanaša na procesiranje sporočila z Unicodom, za kar ni potrebnih nobenih dodatnih privilegijev ali uporabniške interakcije. To je velik problem, ker je rezultat onesposobljen telefon (remote denial of service), zato tudi ni javno znano, kakšno mora biti to sporočilo. Popravek je v repozitoriju AOSP (Android Open Source Project) že na voljo, sedaj pa je odvisno od proizvajalcev posameznih modelov, kdaj bodo popravki prispeli do končnih uporabnikov. Samsung to na primer počne enkrat na mesec, a le za sorazmerno nove naprave. Prvi bodo na varni strani uporabniki Googlovih Pixlov, medtem ko so lastniki starejših naprav ali eksotičnih kitajskih modelov v večji zagati. Vse ni izgubljeno – tudi stare naprave se da odkleniti in nanje namestiti kaj novejšega, denimo LineageOS.

Ob tem omenimo, da smo v zadnjih tednih ugotovili, da lahko napadalci pridobijo dostop nad kamero, vdrejo v telefon prek zanič implementacije RCS (Rich Communication Services) ali z ranljivostjo StrandHogg dobijo dostop do sporočil, fotografij in prijavnih podatkov. Če je le možno, nadgradite svoj telefon.