13

Kto jest rootem na twoim Androidzie?

System uprawnień na Androidzie, choć wadliwy ze względu na głupotę użytkowników, stanowił całkiem solidną barierę. To już przeszłość. Przez ostatni rok często pisałem w PC World o bezpieczeństwie telefonów komórkowych, jednak nie było powodów do paniki. Teraz już są i powinniście podziękowac za to operatorom sieci komórkowych. Na „rynku” mobilnego malware pojawił się właśnie trojan zHash, […]

AndroidSystem uprawnień na Androidzie, choć wadliwy ze względu na głupotę użytkowników, stanowił całkiem solidną barierę. To już przeszłość. Przez ostatni rok często pisałem w PC World o bezpieczeństwie telefonów komórkowych, jednak nie było powodów do paniki. Teraz już są i powinniście podziękowac za to operatorom sieci komórkowych.

Na „rynku” mobilnego malware pojawił się właśnie trojan zHash, który potrafi po cichu zrootować telefon z Androidem umożliwiając pracę innym złośliwym aplikacjom, a na początku marca objawił się obdarzony podobnymi możliwościami DroidDream. Oba konie trojańskie były dystrybuowane za pośrednictwem Android Market i niezależnych źródeł. Oba wykorzystują dziury załatane dopiero w Androidzie 2.3 Gingerbread.

Jak widać schemat działania przestępców jest bardzo podobny do tego, który obserwujemy na PCtach. Złamać zabezpieczenia, zakopać się w systemie i uruchomić wbudowany payload lub dociągnąć sobie z sieci złośliwe oprogramowanie. To że do tego dojdzie było raczej oczywiste. Jednak wydawało się, że Android ze świadomym użytkownikiem zadającym sobie pytanie do czego gra potrzebuje np. danych o lokalizacji i uprawnień do instalowania aplikacji jest stosunkowo bezpieczny.

Jednak wraz z pojawianiem się kolejnych aplikacji potrafiących uzyskać uprawnienia administratora w systemie i polityce operatorów, która na kolejne aktualizacje systemu każe czekać miesiącami – jeśli w ogóle są wypuszczane dla danych modeli, doprowadzamy do analogicznej sytuacji jak w wypadku PCtów. Przestarzałe i dziurawe oprogramowanie działa jak otwarta rana wpuszczając zarazki.

Tylko że świadomy user jest w stanie tego uniknąć na własnym komputerze, aplikując wodę utlenioną w postaci aktualizacji. Użytkownicy Androidów bez roota nie mają tej możliwość i muszą czekać, aż malware zrootuje im smartphone umożliwiając aktualizację systemu bez pomocy operatora. ;)