„Řečeno v kostce, pokročilý hacker může využít této mezery, nainstalovat do telefonu škodlivou aplikaci a zařízení zcela ovládnout,“ píše ve své zprávě bezpečnostní tým IBM s označením X-Force Application Security Research Team.
Nově objevená chyba se týká Androidů verzí 4.3 – 5.1, tedy kromě Jelly Bean a Lollipop taky nejrozšířenějších KitKatů, které běží na více než třetině všech zařízení s Androidem. Mezera je obsažena v certifikátu OpenSSL X509 a může být zneužita v rámci komunikace mezi aplikacemi a webovými službami, do které zdatný hacker snadno vloží škodlivý kód.
Prostřednictvím shell příkazů pak může ukrást data z kterékoliv nainstalované aplikace a na některých zařízeních dokonce modifikovat základní program operačního systému.
V praxi útok vypadá tak, že útočník do ovládnutého mobilního zařízení nainstaluje falešnou aplikaci (IBM simulovaný útok prezentovalo na Facebooku), která se tváří jako pravá, tudíž uživatel má minimální šanci poznat, že se stal obětí útoku, zatímco hacker bez potíží krade jeho data.
Škodlivý kód, kterým lze telefony nabourat, výzkumníci nezveřejnili a zároveň tlumí případné obavy. Podle nich není důvod k panice. Nejen proto, že k dispozici už je patch, ale také proto, že případů, kdy by byl kód využit, se zatím neobjevilo mnoho. Na druhou stranu, případný útok je prý tak důmyslný, že díky němu lze přelstít i ty nejsvědomitější uživatele dbající na bezpečnost svých zařízení.
PŘEDPLATNÉ
ČLÁNKY DO MAILU