Menu

Bezpečnostní díra v telefonech Samsung umožňuje přístup k uživatelským datům

Vývojář, publikující na diskuzním fóru XDA Developers pod přezdívkou Alephzain, tvrdí, že v některých telefonech objevil zranitelnost, která umožňuje získat úplnou kontrolu nad zařízením a tím i přístup ke všem datům uloženým ve fyzické paměti. Potenciál této bezpečnostní díry je velký: útočník by například mohl pomocí škodlivé aplikace vymazat data a “bricknout” zařízení, nebo, což je nejpravděpodobnější scénář, tiše přistupovat k uloženým datům a odesílat je do nepovolaných rukou.

Podle Alephzaina jsou dotčeny telefony s procesory Samsung Exynos 4210 a 4412 – konkrétně pak potvrdil funkčnost na Samsungu Galaxy S III, Galaxy S II, Galaxy Note II a Meizu MX.

Zatímco Samsung, ač byl údajně informován, problém ještě nepotvrdil ani nekomentoval, díra již je využívána. Vývojář s nickem Chainfire naprogramoval aplikaci, využívající uvedenou chybu, která získá práva roota a nainstaluje nejnovější SuperSU “na každém zařízení postaveném na platformě Exynos 4”.

Kompatibilní (a tím pádem i zranitelná) by měla být následující zařízení:

  • Samsung Galaxy S II GT-I9100
  • Samsung Galaxy S III GT-I9300
  • Samsung Galaxy S III LTE GT-I9305
  • Samsung Galaxy Note GT-N7000
  • Samsung Galaxy Note II GT-N7100
  • Verizon Galaxy Note II SCH-I605
  • Samsung Galaxy Note 10.1 GT-N8000
  • Samsung Galaxy Note 10.1 GT-N8010

“Měli byste se velmi obávat tohoto způsobu zneužití,” napsal Chainfire, “neboť každá aplikace může (využít chybu) k získání práv roota bez dotazů a bez požadavků na oprávnění na zranitelném zařízení.”Je třeba poznamenat, že v těchto okamžicích není znám žádný malware, který by uvedenou chybu zabezpečení využíval. Dotčená jsou pouze zařízení s procesory Exynos 4 – například Nexus 10 je imunní, neboť má procesor Exynos 5.

Vývojář Supercurio vydal opravu pro tento problém, takže pokud nechcete čekat na reakci Samsungu, račte se podívat na Project Voodoo, kde jsou odkazy pro stažení neoficiálního opravného balíčku.

Charakteristika této aplikace:

  • Funguje na každém zařízení.
  • Zjistí, zda je zařízení zranitelné či nikoli a nabídne opravu.
  • Pro aplikaci opravy nevyžaduje root.
  • Nemění nic v systému, nekopíruje soubory, ani nic neflashuje.
  • Opravu lze libovolně povolit nebo zakázat.
  • Je zdarma.
Project Voodoo - neoficiální záplata

Project Voodoo – neoficiální záplata

Project Voodoo

Project Voodoo

Omezení:

  • Na Galaxy S III s oficiálním firmwarem může při aktivaci narušit funkci předního fotoaparátu.
  • Může změnit funkce HDMI výstupu na některých zařízeních (nepotvrzené).
  • Nelze chránit účinně proti některým potenciálním útokům (např. během bootování).
  • Jediným skutečným řešením této chyby zabezpečení bude oprava od výrobce.
  • Bez jakékoliv podpory nebo záruky.

Na redakčním Samsungu Galaxy S II s CyanogenModem 9.1 aplikace oznámila, že systém není zranitelný.

Galaxy S II s CyanogenModem 9.1 prý není zranitelný.

Galaxy S II s CyanogenModem 9.1 prý není zranitelný.

Pokud jste jedním z milionů lidí, kteří vlastní Galaxy Note I, Galaxy S II, S III, nebo jiné zařízení běžící na Exynosu 4210 nebo 4412, pak především buďte velmi opatrní při stahování a instalaci aplikací. Vždy nejprve zkontrolujte hodnocení a recenze, jakož i seznam požadovaných oprávnění.

Zdroje: The Next Web, Project Vodoo, XDA Developers, Android Headlines, IT World, The Register a Android Central.

 

Komentáře

Koshar

Koshar

17.12.2012 8:39

Mám tam díru jako vrata! :-((

SII 4.0.3. LPW

R4d3cK

R4d3cK

17.12.2012 8:44

Potvrzuji vrata stejného typu…
SGS II 4.0.4.

x14

x14

17.12.2012 13:39

This website is offline, škoda, třeba se to rozjede…

heyhall

heyhall

17.12.2012 14:24

Uz zase jede. A je tam uz verze 0.3

martin

martin

17.12.2012 14:51

Ked spustim ten fix, hned vypise, ze som OK. Ale apply fix (ten prvy checkbox) uz mam zaskrtnuty rovno po spusteni.. Tym padom nepotrebujem ten voodoo fix? Alebo to znamena, ze sa voodoo fix aktivuje automaticky po spusteni a potrebujem ho? (i9100 supernexus build 5.)

Pepíno

Pepíno

17.12.2012 17:10

Takže Galaxy SII po preverení všetko OK som spokojný a ješte preveríme kamošovo NOTA

Galaxy Note N7000

Galaxy Note N7000

17.12.2012 18:22

Stahnul jsem Voodoo Analyzer a mel jsem ďouru :)

Petr

Petr

17.12.2012 22:41

Jen aby náhodou tahle “záplata” nebyla krásnej trojan… A autor se jen tiše směje, jak si to dobrovolně instalujou tisíce lidí…

Dyno

Dyno

18.12.2012 7:37

SGS II 4.0.4 XEO , aplikace nahlasila zranitelnost , ale co zil jsem s tim doted a budu zit dal. Staci si poradne precist co aplikace chce za prava pri instalaci.

Libb76

Libb76

18.12.2012 9:49

Mno koukal jsem, že to není první aplikace toho člověka, takže bych se až tak nebál

Lukáš

Lukáš

18.12.2012 13:23

SGS III Tmcz také díra. Jen doufám že ta aplikačka není nějakej trojan.

RSS (komentáře k článku)