Tele van biztonsági hibákkal az Android

2011.12.01. 11:48
Az Észak-Karolinai Állami Egyetem kutatói súlyos biztonsági hibákat találátak az Android operációs rendszert futtató okostelefonok gyárilag telepített szoftvereiben. A szakértők a Motorola, a HTC és a Samsung készülékeit vizsgálták.

Kevés biztonsági rés van a Google által gyártott referencia mobilokon, amiket Nexus márkanév alatt dobnak piacra, de a gyártók kevésbé óvatosak – derült ki az Észak-Karolinai Egyetem négy kutatója által közzétett vizsgálat eredményeiből. A tanulmány arra mutat rá, hogy a mobilok nem védik meg rendesen a szoftverek és az operációs rendszer bizonyos funkcióit.

Az Androidon minden programnak megvannak a jogosultságai, például olyanok, hogy hozzáférhet az SD-kártya tartalmához, módosíthatja a rendszer beállításait, vagy telefonhívást indíthat. Az Android Marketről letöltött appok esetében telepítés előtt megtudhatjuk, hogy a szoftver mihez fér hozzá. A gyárilag telepített alkalmazásokról ugyanezt nehezebb kideríteni, a beállítások menüjében kell körülnézni.

Ennél sokkal nagyobb baj, hogy a beépített programok sok esetben hibásak, és a privilégiumaikat át tudják adni az utólag telepített programoknak is. A jogosultság átadása pedig azt eredményezheti, hogy bizonyos mobilos szoftverek a felhasználó tudta nélkül sms-t küldhetnek, beszélgetéseket rögzíthetnek, vagy letörölhetnek minden adatot.

Az egyetemi kutatócsoport két kategóriába sorolta a hibákat. A nyílt hibák a a súlyosabbak, ezek segítségével az alkalmazások egy másik program szolgáltatását vagy az Android interfészét használhatják engedélykérés nélkül.

A másik, kevésbé veszélyes hiba csupán félrevezeti a felhasználót azzal kapcsolatban, hogy mire képes az utólag telepített szoftvere. Ennél a hibánál azzal kap extra jogosultságot egy szoftver, hogy a digitális aláírása megegyezik az egyik gyári programéval. (Ezt normális esetben arra használják a fejlesztőcégek, hogy több szoftverük automatikusan kapcsolatba tudjon lépni egymással.)

A vizsgált mobilokon az Android tizenhárom engedélytípusából összesen tizenegyhez adtak jogosulatlan hozzáférést a gyári programok. A legrosszabb mobil a HTC EVo 4G volt, ami nyolcféle hozzáférést biztosított. A biztonsági rések kihasználásával a kutatók letörölték a mobilról a felhasználó adatait, sms-t küldtek, felvettek beszélgetéseket, és lementették a készülék földrajzi koordinátáit.

A tanulmány csak az előre telepített alkalmazásokra fókuszált, mert ezek a legveszélyesebbek. Egy gonosz támadó, aki kényes adatokat akar ellopni, vagy vírust akar futtatni az áldozatok készülékén, valószínűleg a szélesebb körben elterjedt, gyári appokat veszi célba, nem a kevesebbszer letöltött, utólag telepítendő szoftvereket.