Týka sa aj najväčších výrobcov smartfónov.
Aj keď spoločnosť Google berie bezpečnosť systému Android z roka na rok vážnejšie, zdá sa, že táto zraniteľnosť je tu už roky. Nová správa z portálu PhoneArena naznačuje, že existuje dlhodobý bezpečnostný problém, ktorý ohrozuje milióny Android zariadení. Potvrdzuje to aj tweet pracovníka spoločnosti Google, ktorý tvrdí, že nepovolaným osobám sa podarilo získať prístup k podpisovým kľúčom platformy, ktoré používajú viacerí výrobcovia systému Android na podpisovanie systémových aplikácií.
Pokiaľ však niekto so zlými úmyslami získa kontrolu nad týmito kľúčmi, môže v prípade ich použitia dosiahnuť, že systém Android bude „dôverovať“ aj aplikáciám so škodlivým softvérom na úrovni systému. To samozrejme zapríčiní, že údaje v telefóne už nebudú viac v bezpečí, a môžu byť zneužité. Pokým existujú kľúče na podpisovanie aplikácií pre Obchod Play, tak sú aj také, ktoré slúžia na podpisovanie aplikácií z obchodov tretích strán.
Keďže ide o dlhodobý problém, údajne existujú milióny zariadení, ktoré boli touto zraniteľnosťou postihnuté. Je tu však aj dobrá správa, pretože uniknuté podpisové kľúče nemožno použiť na inštaláciu aktualizácií over-the-air. Zároveň služba Play Store Protect by mohla označiť aplikácie podpísané týmito kľúčmi ako potenciálne škodlivé. Zdroj dodáva, že medzi poškodenými spoločnosťami sú napríklad Samsung, LG, Mediatek alebo Review.
Google zároveň potvrdil, že táto zraniteľnosť bola nahlásená v máji tohto roku, a že vyššie spomenuté spoločnosti už pripravili opatrenia na jej minimalizáciu. Aj keď by sa mohlo zdať, že všetko je už v najlepšom poriadku, tak sa zároveň dozvedáme, že obchod s aplikáciami APK Mirror natrafil vo svojej databáze na aplikácie, ktoré boli podpísané uniknutými podpisovými kľúčmi. Tieto aplikácie mali údajne pochádzať od spoločnosti Samsung.
Google zároveň dodáva, že zneužitie podpisových kľúčov nemalo vplyv na žiadne aplikácie stiahnuté z Obchodu Play. Toto tvrdenie podporila aj spoločnosť Samsung. Aj napriek tomu odporúčame, aby ste vo svojich Android telefónoch používali najaktuálnejšiu verziu systému, a zároveň mali aplikácie pravidelne aktualizované. Okrem iného, Obchod Play má viaceré mechanizmy, ktoré minimalizujú možnosť výskytu škodlivej aplikácie v jeho databáze. Preto je oveľa menej bezpečné sťahovať aplikácie (APK súbory) z obchodov tretích strán.
Google dotknutým spoločnostiam odporučil, aby aktuálne podpisové kľúče vymenili za nové.
Zdroj: PhoneArena
Prečítajte si aj: