Súlyos hiba veszélyezteti az androidos készülékeket

​Súlyos sérülékenység került napvilágra az Android kapcsán. Az ötszáz legnépszerűbb alkalmazás is egy csapásra kiszolgáltatottá vált.
 

Az Android újabb jelentős biztonsági kihívással néz szembe, miután nyilvánosságra került egy olyan sérülékenység, amely viszonylag könnyű prédát jelent a kiberbűnözők számára. Már olyan aktív támadásokat is ki lehetett mutatni, amelyek a biztonsági rés adta lehetőségekkel élnek vissza.
 
A StrandHogg néven ismertté vált sérülékenységről ezúttal a Lookout és a Promon biztonsági cég számolt be, de a probléma valójában egy régebb óta ismert biztonsági rendellenességre vezethető vissza. 2015-ben a Pennsylvania Egyetem kutatói már feltártak egy olyan hibát az Android akkori kiadásában, amely nagyon hasonló kockázatokat vetett fel. A biztonsági rés azonban nem igazán keltett nagy feltűnést még a Google berkein belül sem, ami ahhoz vezetett, hogy most már aktív támadásokról kell, hogy beszéljünk.
 
A sebezhetőséget az Android multitask feladatokat ellátó egyik összetevője (taskAffinity) tartalmazza. A kockázatokat fokozza, hogy a hiba kihasználásához nincs szükség root jogokra, vagyis egy rootolás mentes készüléken is teljes mértékben működőképes. Ráadásul az összes eddigi Android kiadást érinti, beleértve a legújabb, 10-es verziót is. A kockázatokat mindössze az mérsékli, hogy a támadások felhasználói közreműködés nélkül nem kivitelezhetők.
 
Hogyan következik be egy támadás?
 
A StrandHogg révén elkövetett támadások esetén a felhasználó szokásos módon elindít egy teljesen ártalmatlan, általa jól ismert és megbízhatónak tartott appot. Ekkor hirtelen egy engedélyező ablak jelenik meg, amelyben látszólag a legitim alkalmazás valamely erőforráshoz vagy funkcióhoz kér engedélyt. Mivel a felhasználó azt gondolja, hogy a kedvenc appja kéri tőle a jogokat, ezért azt nagy valószínűséggel meg is adja. Csakhogy a sérülékenység folytán nem a kedvenc alkalmazás kapja meg az engedélyeket, hanem egy kártékony program. Az pedig attól függően, hogy milyen jogosultságokat kaparintott meg, egyebek mellett az alábbi feladatokat hajthatja végre:
  • SMS-üzenetek olvasása, írása
  • Mikrofon bekapcsolása és hangfelvételek készítése (kémkedés)
  • Fényképfelvételek készítése és kiszivárogtatása
  • GPS-adatok lekérdezése
  • Telefonkönyvi információk feltöltése távoli kiszolgálóra
  • Híváselőzmények lekérdezése
 
További kockázat, hogy a StrandHogg kihasználására alkalmas károkozók akár adathalász célú alkalmazásokat is telepíthetnek, amik révén az elkövetők további bizalmas adatokhoz (például felhasználónevekhez, jelszavakhoz) juthatnak.
 
Már itt van a nyakunkon
 
A Promon szakértői szerint a sérülékenység a legtöbb androidos appra veszélyt jelent, köztük a legnépszerűbb 500 alkalmazásra is. Eddig több mint 30 olyan alkalmazásról hullt le a lepel, amelyek alkalmasak a hiba kihasználására. Ezek ugyan még nem tudták betenni közvetlenül a lábukat a hivatalos Google Play-re, de olyan alkalmazások révén töltődtek le a fertőzött készülékekre, amik a Play áruházban is elérhetők voltak. Vagyis közvetve már ilyen módon is veszélyt jelentenek.
 
 
Egylőre nem lehet tudni, hogy a Google, valamint a készülékgyártók milyen lépéseket tesznek a StrandHogg kockázatainak csökkentése érdekében. Az azonban biztos, hogy szükség lesz védelmi intézkedésekre, akár frissítések kiadására, már csak azért is, mert egy roppant nagy támadási felületről van szó.
Vélemények
 
  1. 3

    A Moodle-ban felfedezett sebezhetőség XSS-típusú támadásokat tehet lehetővé.

  2. 4

    A Cisco számos hibajavítást tett elérhetővé az IOS XR-hez.

  3. 1

    Az Anchor.A trójai elsősorban azzal tud problémákat okozni, hogy egyéb károkozókat juttat fel a számítógépekre.

 
Partnerhírek
Ingyenes eszközt fejlesztett az ESET a BlueKeep sebezhetőség ellenőrzésére

Az ESET nemrég kiadott egy ingyenes BlueKeep (CVE-2019-0708) eszközt annak ellenőrzésére, hogy a Windows operációs rendszert futtató számítógép védett-e a sérülékenység kihasználása ellen.

iPhone és adathalászat

A most bemutatott eset úgy kezdődött, hogy egy felhasználó kapott egy sms-t, amely értesítette arról, hogy elveszített iPhone X készüléke milyen címen található. Az üzenetben egy link is volt, amelyre kattintva elvileg meg lehetett tekinteni a készülék helyét – a gyakorlatban viszont egy adathalász oldalhoz tartozott, amely ellopta a látogatók iCloud azonosítóit.

hirdetés
Közösség
1