První bezpečnostní chyba

chyba_ico

Tak to vypadá, že pánove z ISE (Independent Security Evaluations) “odhalili” první bezpečnostní chybu v platformě Android. Konkrétně jde o již dříve známý problém ve webovém prohlížeči založeném na jádře WebKit.

Pokud uživatel telefonu vstoupí na zákeřnou stránku, je možné (již existujícím, ale nepublikovaným) exploitem spustit kód s právy prohlížeče. Výhodou Androidu ovšem je, že touto cestou je možné zneužít opravdu jen data prohlížeče (i když i ta mohou být někdy poměrně citlivá) – tedy například cookies, uložená hesla či historii navštívených stránek. Ke kontaktům, odesílání SMS apod. tedy není možné se touto cestou dostat.

Exploit založený na stejném principu byl nedávno představen i pro iPhone, kde je ovšem situace o poznání horší – v jeho operačním systému není tak promyšelný security model (resp. sandboxing aplikací) a je proto možné i zneužití dat jiných aplikací, ne jen browseru.

A proč chyba vznikla? Hlavní problém je v tom, že do Androidu nebyla nasazena nejaktuálnější verze WebKitu, ale verze “trošku starší” a stabilní. Proto se chyba objevila i přesto, že v samotném jádře je již opravena. Na updatu WebKitu v Androidu se už ovšem intenzivně pracuje, takže je pouze otázkou dní (nebo hodin? :) kdy bude vše vyřešeno.

Mohlo by vás zajímat

Komentáře (0)