Výzkumník objevil chybu v telefonu G1 s Google Android

30. 10. 2008

Sdílet

Krátce po uvedení prvních chytrých telefonů se systémem Google Anroid se objevilo varování před závažnou bezpečnostní dírou. Ohroženi jí mají být uživatelé smart phonu G1, který prodává T-Mobile.

Krátce po uvedení prvních chytrých telefonů se systémem Google Anroid se objevilo varování před závažnou bezpečnostní dírou. Ohroženi jí mají být uživatelé smart phonu G1, který prodává T-Mobile.

Tvrdí to alespoň tým vedený Charlie Millerem, který již v minulosti upozornil např. na bezpečnostní problémy konkurenčního telefonu Apple iPhone. Miller se nicméně obecně vyjádřil v tom smyslu, že ač má rád iPhone, bez ohledu na objevenou chybu nabízí G1 celkově vyšší úroveň zabezpečení.

Viz také článek na Securityworldu:
iPhone 3G: Apple vydal další opravu, ale problémy přetrvávají

O chybě v systému Anroid bylo prozatím zveřejněno pouze to, že má jít o problém typu buffer overflow. Uživatele G1 ohrožuje tak, že je podvodníci mohou přimět k návštěvě nebezpečných serverů. Jejich provozovatelé pak mohou na telefonu bez další interakce vzdáleně spustit kód, který jim dá stejná práva jako aktuálnímu uživateli prohlížeče. Tým Independent Security Evaluators sdělil zatím podrobnosti o možnosti zneužití pouze Googlu a zveřejnění detailů nebo i exploitu, který je prý také již hotov, má počkat, až bude k dispozici oprava. Charlie Miller přitom tvrdí, že vlastní „obecné“ zveřejnění informací o problému učinil proto, aby upozornil na riziko lidi, kteří si telefon G1 chtějí koupit.

V některých verzích Androidu by již problém měl být opraven, Google ale údajně pro oficiální uvedení použil starší verzi jednoho z balíčků. Ačkoliv Google neoznámil, kdy bude oprava k dispozici, z uvedeného vyplývá, že by to dlouho trvat nemělo.

Telefon G1 se začal prodávat spolu s oficiálním uvedením open source systému Android (22. 10.); šlo o vůbec první telefon s tímto systémem.

Mimochodem – jeden z problémů v prohlížeči Google Chrome vznikl údajně podobně – použitím starší verze balíčku WebKit. Nová a už opravená verze byla použita pouze pro edici Developer.

 

Autor článku