Díra ve webovém prohlížeči pro Android

No Image-01

Bezpečnostní expert MJ Keith ze společnosti Alert Logic oznámil ve čtvrtek na konferenci HouSecCon v Houstonu objev vážné bezpečnostní chyby, dotýkající se operačního systému Android. Tato díra umožňuje spustit skrze speciálně upravenou webovou stránku škodlivý kód a následně útočníkovi dovolí ovládat systém skrze jednoduchý příkazový řádek (shell). Problém je v jádře WebKit, jež Google používá ve výchozím webovém prohlížeči na platformě Android, přičemž potvrzen byl zatím na Androidu 2.1 a nižších verzích.

Největším nebezpečím je přitom možnost instalace nežádoucího software, který může být stažen a spuštěn na napadeném zařízení. Možností zneužití je celá řádka a alespoň malou útěchou je fakt, že útočník nezíská plná (“root”) práva k systému. Dá se tedy předpokládat, že z napadeného telefonu není možné například posílat SMS nebo provádět volání, ale pravděpodobně lze získat přístup například k uloženým fotografiím nebo historii navštívených stránek. MJ Keith dále uvedl, že mu není známo, zda je tato bezpečnostní díra již aktivně využívána hackery.

Ukázku provedení útoku můžete zhlédnout na následujícím videu.

android browser remote shell exploit WOOT!

android browser remote shell exploit WOOT!

Tiskový mluvčí Google Jay Nancarrow potvrdil, že společnost o této chybě ví a uvedl: “Jsme si vědomi problémů s WebKitem, které mohou potenciálně ovlivnit pouze staré verze prohlížeče na Androidu. Tato záležitost se nedotýká Androidu 2.2 a novějších verzí.” Podle Googlu přitom Android 2.2 běží již na 36,2% zařízení s tímto operačním systémem.

Zdroj: AndroidGuys.

Karel Kilián
O Autorovi - Karel Kilián

S překonanou čtyřicítkou je s náskokem nejstarším členem redakce :-). Před několika lety hypoteticky vymyslel operační systém svých snů, aby následně zjistil, že přesně na… více o autorovi

Mohlo by vás zajímat

Komentáře (10)