Google zalepil bezpečnostní chybu v Android Marketu

obchod google play hlavni

Google zareagoval na oznámení bezpečnostního experta, který upozornil na závažnou chybu v Android Marketu. Nalezená díra souvisela s webovou verzí Android Marketu, který byl uveden začátkem tohoto roku, a údajně měla umožnit hackerům poměrně snadno nainstalovat libovolné aplikace s libovolnými oprávněními bez vědomí uživatele.

Spoluzakladatel a technologický ředitel společnosti Duo Security (dříve Scio Security) Jon Oberheide zmíněnou XSS zranitelnost objevil v polovině února a oznámil ji Googlu, který ji opravil v uplynulém týdnu. K infiltraci stačilo, aby uživatel na svém telefonu nebo počítači otevřel nebezpečný odkaz aktivující instalaci škodlivého softwaru. Chyba přitom “fungovala” na všech zařízeních se systémem Android bez ohledu na verzi a architekturu. Oberheide byl překvapen tím, že nikdo neobjevil chybu před ním.

“Možnost procházet Android Market prostřednictvím prohlížeče na počítači a instalovat aplikace do zařízení je z hlediska uživatele skvělou funkcí, která ale současně otevírá vrátka nebezpečným útokům. XSS zranitelnost mohla útočníkovi umožnit, aby prohlížeč odeslal žádost, která spustí instalaci aplikace do telefonu,” napsal Oberheide. “Protože mobilní zařízení nepožadují potvrzení takto vyvolané instalace, může útočník spustit instalaci škodlivých programů jednoduše tím, že podvrhne oběti odkaz, a je-li tento uživatel přihlášen ke svému účtu Google, proběhne instalace aplikace na telefon oběti, přičemž může použít veškerá oprávnění, což je v každém případě velmi špatné.”

Poté, co minulý týden uživatele vystrašilo asi 58 škodlivých aplikací v Android Marketu, odkud se dostaly na 260 000 zařízení, se Googlu pravděpodobně velmi ulevilo, když zlikvidoval další riziko hned v zárodku. Oberheidovi byla Googlem za oznámení chyba vyplacena odměna 1 337 dolarů. Ironií je, že kdyby tutéž chybu prezentoval na konferenci Pwn2Own a zvítězil s ní v soutěži Zero-Day Initiative, mohl si odnést 15 000 USD.

Zdroj: Android Police a cnet News

Mohlo by vás zajímat

Komentáře (6)