Tato nebezpečná chyba je v Androidu podle expertů ze společnosti Bluebox Security přítomna již od vydání verze 2.1 na počátku roku 2010. Analytici jí přezdívají Fake ID, jelikož, podobně jako třeba falešný občanský průkaz napomáhá mladistvým při koupi alkoholu, toto slabé místo umožňuje nebezpečným aplikacím přístup ke speciálním funkcím Androidu, jež jsou normálně zapovězeny. Vývojáři z Googlu v uplynulých letech představili změny, které omezují některé z možných škod, jež mohou tyto nebezpečné aplikace napáchat. Klíčová zranitelnost je v systému však stále (a to i v testovací verzi chystaného Android L).
Chyba Fake ID zneužívá selhání Androidu při ověřování platnosti kryptografických certifikátů, které doprovázejí každou aplikaci nainstalovanou v zařízení. Operační systém se spoléhá na údaje při rozdělování speciálních oprávnění, která umožňují několika aplikacím fungovat mimo sandbox Androidu. Za normálních okolností sandbox zamezuje aplikacím, aby přistupovaly k datům, jež patří jiným aplikacím, nebo k citlivým částem systému. Vybrané aplikace typu Adobe Flash či Google Wallet však mohou fungovat i mimo sandbox. Podle Jeffa Forristala z Bluebox Security selhává Android při ověřování řetězce certifikátů, které se využívají k ověření toho, zda aplikace patří mezi privilegované aplikace s rozšířenými právy.
V důsledku toho může škodlivá aplikace obsahovat neplatný certifikát, který bude tvrdit, že jde například o Flash, a Android jí přiřadí ta samá speciální privilegia, jaká by přiřadil legitimní aplikaci – legitimitu certifikátu OS jednoduše nezkoumá. „Pak už jen stačí, aby se koncový uživatel rozhodl nainstalovat falešnou aplikaci, a je prakticky konec hry,“ upozorňuje Forristal. „Trojský kůň ihned pronikne ze sandboxu a začne krást osobní data.“
Změny v Androidu 4.4 omezují některá privilegia, která Android Flashi přiděluje. I tak však podle Forristala selhání při ověření řetězce certifikátů je v Androidu od verze 2.1. „Po prověření celé věci jsme rychle svým partnerům distribuovali opravu a prověřili jsme všechny aplikace v Google Play a nemáme žádné důkazy o tom, že by zneužívání této zranitelnosti aktivně probíhalo,“ uvedl mluvčí Googlu v reakci na nařčení experty z Bluebox Security. Zatím však není jasné, jakým způsobem Google svou několik let starou chybu opravil či zda jeho partneři již aktualizaci distribuují koncovým uživatelům.
PŘEDPLATNÉ
ČLÁNKY DO MAILU