Podle informací organizace United States Computer Emergency Readiness Team (US-CERT) stačí útočníkovi vytvořit podvodnou aplikaci. Ta pak využije zranitelnost, která se objevuje ve verzích Androida, které společnost HTC u některých svých modelů využívá.
US-CERT doporučuje, aby uživatelé ohrožených modelů nainstalovali softwarové aktualizace ze stránek podpory společnosti HTC.
Poškozené verze Androida poskytují hesla 802.1X aplikacím, které mají na telefonu povolen přístup k Wi-Fi. Tato chyba sice neposkytuje přímo přístup k nastavení protokolu 802.1X, umožňuje ale prohlížení nastavení Wi-Fi, popisuje chybu Bret Jordan na blogu „My War With Entropy“.
V praxi to znamená, že aplikace může získat přístup k SSID Wi-Fi sítí, uživatelským jménům a heslům. Pokud má ještě k tomu povolení využívat internetové připojení, může tyto informace hned zaslat svému tvůrci nebo „zaměstnavateli“.
Jordan dále vysvětluje, že například informace o podnikových sítích mohou být využity k následnému získání dat v těchto sítích jinými prostředky.
Podle US-CERT patří mezi poškozené tyto modely s uvedenou verzí firmwaru:
- Desire HD - verze FRG83D, GRI40
- Glacier - verze FRG83
- Droid Incredible - verze FRF91
- Thunderbolt 4G - verze FRG83D
- Sensation Z710e - verze GRI40
- Sensation 4G - verze GRI40
- Desire S - verze GRI40
- EVO 3D - verze GRI40
- EVO 4G - verze GRI40
Společnosti HTC a Google (výrobce operačního systému Android) se o této chybě dozvěděly loni v září a pracovaly na řešení problému, aby jej mohly co nejdříve zveřejnit. Spolupráce s nimi byla podle Jordana pružná a zcela bezproblémová.
PŘEDPLATNÉ
ČLÁNKY DO MAILU