Böngészőjén keresztül támadható az Android

A böngészőkben felfedezett sebezhetőségekről szóló hírek napjainkra mindennapossá váltak. E biztonsági hibák egy része a WebKithez kötődik, amely többek között a Safari és a Chrome alapjául is szolgál. Mivel két, mind nagyobb népszerűségnek örvendő böngészőről van szó, ezért a figyelem egyre inkább ráirányul a WebKit különféle gyenge pontjaira is. Az egyik ilyen sérülékenység azzal emelkedik ki a többi közül, hogy egyes Android alapú készülékek veszélyeztetésére is képes.

M.J. Keith, az Alert Logic biztonsági kutatója egy olyan sérülékenységet vett górcső alá, amelyre korábban a WebKit kapcsán már fény derült. A szakember azt igyekezett igazolni, hogy a biztonsági hiba az Android esetében is működőképes lehet. Addig-addig próbálkozott, amíg végül sikerült egy olyan megoldással előrukkolnia, amely a mobilokon való jogosulatlan műveletvégrehajtást teheti lehetővé.

Keith szerint az általa kipécézett sérülékenység révén minden olyan művelet elvégezhető, amelyhez elegendő annyi jogosultság, amennyivel az Android böngésző is rendelkezik. Állítása szerint sikerült egy olyan kódot írnia, amely bizonyos feltételek teljesülése esetén egy egyszerű parancssori felületet indít el, amikor a felhasználó egy speciálisan szerkesztett weboldalt tekint meg. Ugyanakkor a kód, illetve a biztonsági rés nem alkalmas arra, hogy a támadó például SMS-üzeneteket küldözgessen, vagy hívásokat kezdeményezzen. Viszont a memóriakártya tartalmához való hozzáférésre vagy a böngészési előzmények lekérdezésére lehetőséget ad. Keith hangsúlyozta, hogy a kódja csak olyan készülékeken működőképes, amelyeken még az Android 2.2-es kiadása előtt megjelent valamely verziója fut.

A Google immár hivatalosan is elismerte, hogy a sérülékenység valóban létezik. "Tudomásunk van a WebKit problémájáról, amely csak a régebbi verziójú Android esetében jelent kockázatot" - nyilatkozta Jay Nancarrow, a cég szóvivője. Majd megerősítette azokat az állításokat, amelyek szerint az Android 2.2 és az ennél újabb változatok már nem sebezhetők e hiba által.

Android audit

Nemrégen a Coverity cég egy biztonsági auditot hajtott végre az Android forráskódján, amelynek eredményeként számos problémát sikerült feltárni. Az elemzők összesen 359 darab, veszélyt jelentő rendellenességre derítettek fényt. Ezek egynegyede meglehetősen komoly kockázatot jelent, és hasonló műveletek elvégzésére ad lehetőséget, mint amikre a Keith-féle biztonsági rés.

Robert Graham, az Errata Security elnök vezérigazgatója szerint jelenleg az a probléma az Android alapú készülékekkel, hogy azokra többnyire csak lassan jutnak el a frissítések. Márpedig - ahogy a példa is mutatja - a hibajavítások gördülékenyebb kezelésére szükség lenne. Ugynakkor természetesen a biztonsági frissítésekre való odafigyelés nemcsak az Androidnál válik kulcskérdéssé, hanem az egyéb mobil platfromok esetében is. Ugyanakkor az is nyilvánvaló, hogy a biztonsági frissítésekre való odafigyelés nemcsak az Androidnál válik kulcskérdéssé, hanem az egyéb mobil platformok esetében is.