72

Blisko miliard użytkowników Androida narażonych. Atakującemu wystarczy jedynie Wasz numer telefonu

google android logo
Nie pierwszy i pewnie nie ostatni raz piszę o takich sytuacjach. Badająca zabezpieczenia firma Zimperium odkryła w Androidzie groźną lukę, która naraża 950 mln użytkowników tego systemu na atak. Co gorsza jest on banalnie prosty – wystarczy przesłać spreparowaną wiadomość MMS. Android nie jest bez skazy i jego problemy z bezpieczeństwem nie są niczym nowym. […]

Nie pierwszy i pewnie nie ostatni raz piszę o takich sytuacjach. Badająca zabezpieczenia firma Zimperium odkryła w Androidzie groźną lukę, która naraża 950 mln użytkowników tego systemu na atak. Co gorsza jest on banalnie prosty – wystarczy przesłać spreparowaną wiadomość MMS.

Android nie jest bez skazy i jego problemy z bezpieczeństwem nie są niczym nowym. Dotąd jednak, aby narazić się na atak, użytkownik musiał podjąć pewne czynności: zainstalować aplikację, kliknąć w link albo przekazać innej osobie telefon. Tym razem problem jest o wiele większy, bo atakujący potrzebuje wyłącznie naszego numeru telefonu. Dzięki temu jest w stanie przesłać spreparowaną wiadomość MMS. To właśnie framework odpowiedzialny za przetwarzanie tych tych wiadomości jest wadliwy i pozwala na wykonanie kodu przez nieautoryzowaną osobę. W najgorszej sytuacji rezultatem jest przyznanie jej nawet praw dostępu do roota, a więc oddanie niemal kompleksowej kontroli nad urządzeniem. Komentarz w tej sprawie zabrała inna firma zajmująca się rozwojem aplikacji do SMS/MMS TextSecure. Zdaniem jej przedstawicieli do ataku może dojść wyłącznie, gdy użytkownik odtworzy zawartość  multimedialną z takiej wiadomości.

hck987

Kto jest narażony? luka dotyczy urządzeń z Androidem 2.2 i nowszym. Inne źródła sugerują, że najbardziej narażeni są ci, którzy posiadają wersję starszą niż 4.2, gdzie mechanizmy zabezpieczające są szczególnie ułomne. Spać spokojnie mają natomiast posiadacze Androida 5.1.1, gdzie problem podobno miał zostać wyeliminowany. Tymczasem Ars Technica informuje, że Nexus 5 z tym systemem jest nadal podatny na atak (a Nexus 6 częściowo podatny). Szacuje się, że może dotyczyć 95 proc. wszystkich posiadaczy urządzeń z Androidem. Skala problemu jest tak duża, że lukę nazwano „Heartbleed for mobile” nawiązując do wykrytych jakiś czas temu luk w certyfikatach OpenSSL. Rzecznik prasowy Google tłumaczy:

Bezpieczeństwo Androida jest dla nas szczególnie ważne, dlatego szybko odpowiedzieliśmy na ten problem i aktualizacje, które można zaaplikować do każdego urządzenia, zostały już dostarczone do naszych partnerów.

Informacje o problemie miały zostać przekazane do Google’a prywatnie w kwietniu br. To oczywiście nie oznacza, że problem szybko zostanie wyeliminowany (skoro dotąd nie został, to mówi samo za siebie). Aktualizacje w segmencie Androida należą do producentów, a ci skupiają swoją uwagę na nowych urządzeniach. W większości przypadków nie ma szans, żeby smartfony sprzed kilku lat doczekały się jakichkolwiek aktualizacji eliminujących lukę. Najwyraźniej sam Google również nie może tego zrobić poprzez aktualizację Google Play Services. Sytuacja jest zatem dość tragiczna. Póki co do prac nad jej poprawą przyznały się tylko HTC oraz T-Mobile.

11805682_10153538516664181_362799591_n

Jak się można bronić? Na początek zalecamy wszystkim wyłączenie funkcji automatycznego pobierania wiadomości MMS. Wówczas będziecie mieć większą kontrolę nad tym, co trafia na Wasze urządzenia. Przy czym autor raportu dotyczącego luki, Joshua J. Drake, informuje, że atak może zostać przeprowadzony wieloma drogami. Istnieje nawet możliwość wykorzystania luki poprzez przeglądarkę internetową. Jego zdaniem jedyny programem, który nas przed tym może uchronić, jest aktualnie mobilny Firefox. Niestety to jedyne rozwiązanie w obecnej sytuacji, bo problem znajduje się na poziomie systemu operacyjnego. Reszta leży w rękach producentów i dostawców oprogramowania. Posiadacze nowych smartfonów będą zapewne traktowani priorytetowo, ale starsze modele mogą czekać na aktualizację miesiącami.