Ponad połowa użytkowników Androida podatna na poważny atak. Wszystko przez błąd w przeglądarce systemu
Pojawienie się kolejnej luki w bezpieczeństwie mało kogo w dzisiejszych czasach dziwi. Często są to jednak drobniejsze problemy, które Google szybko naprawia lub które dotyczą niewielkiej części użytkowników. Tym razem jest jednak inaczej - zagrożonych może być nawet ponad 75% posiadaczy telefonów z Androidem, a Google nie zdecydowało się na podjęcie jakichkolwiek działań.
Luka odkryta przez Rafaya Balocha i opisana m.in. przez serwis Niebezpieczenik.pl, związana jest z natywną przeglądarką Androida, która dopiero od odsłony 4.2 została zastąpiona przez Chrome, i której elementy są aktywnie wykorzystywane aż do wydania 4.4. Dopiero od wersji KitKat jej wszystkie funkcje przejął Chrome, choć przeważnie nadal jest ona obecna w systemie (nie będąc już jednak większym zagrożeniem). W teorii zagrożone są więc wszystkie osoby, których telefon nie pracuje pod kontrolą Androida 4.4 lub nowszego, a tacy użytkownicy stanowią niestety przytłaczającą większość.
W sumie telefony podatne na atak to około 75 proc. wszystkich smartfonów z Androidem. Nieco ponad 50 proc. to telefony w pełni podatne, tj. takie, gdzie domyślną przeglądarką jest właśnie Android Browser.
Jakie zagrożenia czekają na nich przy korzystaniu z fabrycznej przeglądarki starszego Androida? Spore - złośliwy kod JavaScript jest w stanie obejść zabezpieczenie SOP (Same Origin Policy), uzyskując tym samym dostęp do treści wyświetlanych lub wprowadzanych na innych stronach, a nie tylko w danej domenie. W ten sposób, jak informuje Niebezpiecznik.pl, możliwe jest m.in. odczytanie wiadomości email (przy przeglądaniu ich przez przeglądarkę, nie aplikację), czy kradzież ciasteczek z niektórych stron, umożliwiając tym samym zalogowani się na nasze konto w danym serwisie. Biorąc pod uwagę fakt, że skrypt ma możliwość również modyfikowania treści, może on zrobić - jak to dokładnie opisano - co chce.
Przed ryzykiem trudno jest się w tym przypadku ustrzec, szczególnie jeśli producent naszego telefonu nie oferuje nam aktualizacji do nowszej wersji Androida. Nawet zastąpienie systemowej przeglądarki inną nie gwarantuje w takim przypadku pełnego bezpieczeństwa. W dalszym ciągu wykorzystują ją niektóre aplikacje niezależnych programistów.
Co ciekawe, błąd już wcześniej został zgłoszony do Google, ale firma poinformowała odkrywcę luki, że nie jest w stanie odtworzyć błędu i nie zamierza się tym problemem zajmować. Baloch zdecydował się więc opisać swoje odkrycie w internecie. Szum medialny i stworzenie narzędzi potwierdzających istnienie tej luki sprawiły jednak, że Amerykanie zmienili swoje stanowisko.
Po przeprowadzeniu oficjalnych testów zostało potwierdzone pełne bezpieczeństwo Androida 4.4 i nowszych, a dla przeglądarek ze starszych wersji Androida przygotowano odpowiednie łatki. Problem jedynie w tym, że poprawione wersje Android Browsera muszą być w jakiś sposób "wypchnięte" do telefonów użytkowników i na podstawie dotychczasowych doświadczeń trudno liczyć na to, że do pracy rzucą się wszyscy producenci sprzętu.
Co pozostaje? Cieszyć się z posiadania telefonu z Androidem 4.4, sprawdzić, czy nie czeka nas aktualizacja do tej wersji systemu, a jeśli ani jedno, ani drugie - poszukać nieoficjalnego obrazu systemu dla naszego smartfonu, opartego właśnie o Androida 4.4.
---
Zdjęcie pochodzi z serwisu Shutterstock
