Zranitelnost je většině prodávaných telefonů s Androidem, které mají zároveň procesor od Qualcommu. Dostává tak jejich uživatele do nepříjemné pozice: Hrozí jim únik dat z textových zpráv a historie volání.
Chyba byla nalezena experty z bezpečnostní agentury FireEye a opravena Qualcommem v březnu. Ale protože chyba se vyskytla už před pěti lety, mnoho ze zranitelných zařízení pravděpodobně nikdy opravu nedostalo, protože již nejsou podporována výrobci.
Vada s názvem CVE-2016-2060 se nachází na Androidí součástce „netd“ kterou Qualcomm modifikoval, aby umožnil dodatečné možnosti tetheringu. Různé infikované aplikace tak mohou tuto chybu zneužít a následně vykonávat příkazy jako „radio“ uživatel, který má speciální pravomoci.
Protože čipy Qualcomm jsou dosti populární u výrobců handsetů, výzkumníci z FireEye se domnívají, že nakaženy jsou stovky modelů. A protože je na trhu momentálně 1,4 miliardy aktivních zařízení založených na systému Android, předpokládá se, že chyba se vyskytuje na milionech přístrojů.
Podle bezpečnostního poradce z inovačního centra Qulacommu chyba napadá všechny verze Androidů Jelly Bean, KitKat a Lollipop; Tedy těch nejoblíbenějších a nejrozšířenějších.
K využití chyby by nakažené aplikaci stačilo jen často vyžadované „ACCESS_NETWORK_STATE“ povolení, aby se dostala do API, chybně modifikované Qualcommem. Není tak jednoduché poznat, že se děje něco nekalého.
„Jakákoli aplikace by mohla s API manipulovat bez spuštění nějakého varování,“ říká Jake Valletta z Mandiantu, dceřiné firmy společnosti FireEye, v příspěvku na blogu. „Google Play pravděpodobně takovou aplikaci nenahlásí jako nakažlivou, a ani naše služba FireEye Mobile Threat Prevention ji zpočátku nedetekovala. Jen těžko lze věřit, že by si ji povšiml jakýkoli antivirus.“
Ve chvíli, kdy aplikace dosáhne „radio“ uživatelských práv, může nakažená aplikace zpřístupnit data jiných aplikací běžících pod stejným uživatelem. To zahrnuje především základní aplikace telefonu jako textové zprávy, historii volání, ale i další citlivá data.
Přístroje, na kterých je instalován oblíbený KitKat (4.4) a pozdější verze jsou zasažený méně, než starší varianty. Ty nové totiž mají přídavné bezpečnostní opatření, SEAndroid, který je v základním nastavení zapnut. A díky SEAndroidu je nemožné vzniklou chybu zneužít.
V těchto nových verzích „je netd kontext takový, že ‘/system/bin/radish‘ spustitelné aplikace nemají schopnost ovlivňovat data jiných ‘radio‘ aplikací uživatele, mají limitované možnosti zápisu dat a obvykle jsou limitovány i v možnosti zacházet s aplikacemi samotnými,“ vysvětluje Valetta.
Nakažená aplikace by však přesto mohla chybu využít k modifikaci některých vlastností systému, dodává. „Dopad zde závisí čistě na tom, jak OEM využívá systémové vlastnosti subsystému.“
Google zahrnul CVE-2016-2060 chybu do svého květnového bezpečnostního bulletinu, vydaného v pondělí. IT gigant ho ji označil jako velmi nebezpečnou, protože „může být zneužita k získání zvýšených pravomocí, jako jsou Signature nebo SignatureOrSystem pravomoci, které nemají být dostupné aplikacím třetí strany.“