Bezpečnostní špecialisti z tímu Bluebox odhalili zraniteľnosť, ktorá je v Androide prítomná už od verzie 1.6, teda zhruba štyri roky. Presné detaily tejto zraniteľnosti, spolu s proof-of-concept kódom zverejní na konferencii BlackHat USA 2013, ktorá sa začína 27. júla.
Avšak už teraz je známe, že problém spočíva v spôsobe, akým je overovaná autenticita inštalovaných aplikácií. Špeciálnou metódou možno legitímne aplikáciu upraviť tak, že sa jej "podpis" nezmení, čo jej umožní obísť bežné ochranné mechanizmy operačného systému i online obchodov s aplikáciami.
Najväčšie potenciálne riziko skrýva možnosť vpraviť škodlivý kód do aplikácií tváriacich sa ako systémový softvér od výrobcov telefónov. Tieto takzvané OEM aplikácie majú k dispozícii v podstate neobmedzený prístup k hardvéru a službám telefónu. Útočník, ktorému sa podarí podvrhnúť takú OEM aplikáciu, získa absolútnu kontrolu nad napadnutým zariadením.
Podľa vyjadrenia Bluebox podvrhnutá aplikácia získa plný prístup k operačnému systému, ku všetkým nainštalovaným aplikáciám a ich dátam: "Takáto aplikácia nielen že môže čítať ľubovoľné aplikačné dáta na zariadení (e-maily, textové správy, dokument a podobne), môže získať aj všetky uložené heslá k nastaveným účtom a službám, ale v zásade môže prevziať kontrolu nad fungovaním telefónu ako takého a môže ovládať všetky jeho funkcie (napríklad ľubovoľne vytáčať hovory, posielať SMS správy, zapnúť kameru alebo nahrávať hovory). Keď na to príde, a to je obzvlášť desivé, môže útočník využiť vždy zapnuté, vždy pripojené a neustále sa pohybujúce (a teda ťažko odhaliteľné) mobilné zariadenie na vytvorenie mobilného botnetu."
K nakazeniu stačí, keď si užívateľ akýmkoľvek spôsobom nainštaluje škodlivú aplikáciu. Útočník ho k tomu, rovnako ako v prípade bežných PC, môže prinútiť desiatkami rôznych spôsobov: reklamou, zhodou názvov s populárnou aplikáciou, prípadne proste len výhodnou ponukou.
Zo všetkých troch hlavných mobilných platforiem (Android, iOS, Windows Phone) je Android tá najotvorenejší a problémy, ako je tento, sú daňou za túto otvorenosť, podobne ako u Windows na osobných počítačoch. Ostatne, už teraz je Android najvďačnejším cieľom mobilného malware. Podľa správy Juniper Networks je 92% všetkého malwaru smerovaných práve na neho, pričom 73% týchto programov sa snažia získať priamo peniaze obete pomocou automatického zasielania Premium SMS.
Rizikový Android
Relatívna otvorenosť Androidu a ústretovosť Google k výrobcom stoja za veľkým úspechom tejto platformy a za tým, že bolo aktivovaných už vyše 900 miliónov mobilných zariadení s touto platformou (iOS zariadení bolo niečo okolo 600 miliónov). Pretože telefóny a tablety s Androidom môže produkovať v podstate ktokoľvek, aj to v podstate ktokoľvek robí, bez akýchkoľvek záruk ďalšej starostlivosti.
Podľa oficiálnych údajov publikovaných spoločnosťou Google len 4% používateľov používajú aktuálnu verziu operačného systému 4.2. Ďaleko najpoužívanejšie (s podielom 36,4%) sú prastaré verzie 2.3.3-2.3.7, ktoré boli uvedené už vo februári 2011.
Google sám koncovým užívateľom aktualizácie neposkytuje (s výnimkou zariadení Nexus, ktorá sám vyrába), je na výrobkoch a mobilných operátoroch, aby sa o to postarali. Avšak to nie je v ich záujme - pre výrobcov je oveľa lepšie, keď si kvôli novej verzii systému užívateľ kúpi nový telefón, takže väčšina zariadení sa aktualizácie nedočká nikdy, alebo len s veľkým oneskorením.
Platformy iOS a Windows Phone sú na tom v tomto smere lepšie. Apple je jediným výrobcom zariadení s iOS a poskytuje im dosť dlhú podporu. V prípade Windows Phone potom aktualizácie pre operačný systém ponúka priamo Microsoft, ako jeho autor, nie výrobca zariadenia.
Náprava sa chystá?
Bluebox popisovanú chybu už oznámil spoločnosti Google a pracuje s ňou, ako aj s hlavnými výrobcami androidových zariadení, na opravách chýb. Ak teda máte telefón s Androidom a ceníte si svoje súkromia a peňaženku, pozrite sa po aktualizácii pre váš telefón. Ak patríte medzi majiteľov tej väčšiny telefónov, pre ktoré žiadna dostupná nie je a nikdy nebude, máte len dve možnosti, ako dosiahnuť bezpečie: nikdy neinštalovať žiadne aplikácie, alebo si kúpiť nový telefón.