Eρευνητής ασφαλείας δημοσίευσε κώδικα με τον οποίο μπορεί κάποιος να επιτεθεί σε κάποιες εκδόσεις Google Androidμέσω διαδικτύου.Η επίθεση εστιάζει στις εκδόσεις browser που βρίσκονται εγκατεστημένες στο λειτουργικό Android 2.1 και τις παλαιότερες εκδόσεις. Το κενό ασφαλείας αποκαλύφθηκε από τον M.J. Keith, ερευνητή ασφαλείας στην Alert Logic, στο συνέδριο HouSecCon του Houston. Ο Keith ισχυρίζεται ότι έγραψε κώδικα που του επιτρέπει να ανοίξει command line shell στο Android, όταν το θύμα επισκεφθεί ιστοσελίδα που περιέχει τον κώδικά του. Το bug βασίζεται στη μηχανή browser WebKit του Android.
Η Google είπε ότι έχει γνώση του ζητήματος.
"Γνωρίζουμε το ζήτημα του WebKit που θα μπορούσε δυνητικά να έχει αντίκτυπο στις παλαιότερες εκδόσεις του browser του Android. Το ζήτημα δεν επηρεάζει τις εκδόσεις 2.2 του Android και τις νεότερες."Η έκδοση 2.2 βρίσκεται εγκατεστημένη στο 36,2% των smartphone με Android, σύμφωνα με τη Google. Παλαιότερες συσκευές, όπως το G1 και το HTC Droid Eris, που ίσως δεν επιδέχονται τις ενημερώσεις λογισμικού, μπορεί να είναι εκτεθειμένες στην επίθεση. Επειδή όμως το Android προστατεύει τα επιμέρους τμήματα του λειτουργικού συστήματος από τη μεταξύ τους αλληλεπίδραση, το κενό ασφαλείας του Keith δε δίνει πλήρη πρόσβαση στη συσκευή του θύματος. Μπορεί μόνο να προσπελάσει ό,τι είναι προσβάσιμο από το browser.
Αυτό σημαίνει ότι η επίθεση του Keith μάλλον δε μπορεί να χρησιμοποιηθεί για να διαβάσει ή να αποστείλει μηνύματα SMS ή να διεξάγει κλήσεις, αλλά θα μπορούσε να υποκλέψει φωτογραφίες από το τηλέφωνο ή να παρακολουθήσει το ιστορικό περιήγησηςκάποιου.
"Έχεις πλήρη πρόσβαση στην κάρτα SD, επομένως ό,τι βρίσκεται εκεί είναι εκτεθειμένο. Αν οι χρήστες χρησιμοποιούν το browser για να έχουν πρόσβαση σε κάποιο άλλο σημείο, τότε θα μπορείς να το χρησιμοποιήσεις κι εσύ."Το WebKit είναι λογισμικό ανοικτού κώδικα που χρησιμοποιείται από τους browsers Safari και Chrome, καθώς και άλλα προϊόντα. Το κενό ασφαλείας του WebKit έχει γίνει γνωστό στο παρελθόν και έχει επιλυθεί σε άλλα συστήματα, αλλά τώρα μελετάται στο Android. Την περασμένη εβδομάδα έγινε εξονυχιστική έρευνα στον πυρήνα του Android και βρέθηκαν 359 πιθανές αδυναμίες, των 1/4 των οποίων θα μπορούσε να εκθέσει τους χρήστες του λειτουργικού συστήματος.
Το μεγαλύτερο πρόβλημα του Android δεν είναι η εμφάνιση κενών ασφαλείας, αλλά η καθυστέρηση των ενημερώσεων. Σε αντίθεση με την Apple και τη RIM, η Google δε διαθέτει απευθείας ενημερώσεις για το λειτουργικό της σύστημα, αλλά τις παρέχει μέσω των κατασκευαστών κινητών τηλεφώνων. Η πρακτική αυτή συνεπάγεται αφενός την καθυστέρηση στη δημοσίευση των ενημερώσεων ασφαλείας, αφετέρου τη μη υποστήριξη κάποιων συσκευών από τις ενημερώσεις.
πηγή: infoworld.com
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου