Bluebox: Wiemy jak włamać się do 900 mln smartfonów z Androidem

Firma Bluebox, zajmująca się bezpieczeństwem urządzeń mobilnych, odkryła luki w zabezpieczeniach Androida dające pełny dostęp do prawie 900 mln smartfonów z systemem Google'a na całym świecie.

Specjalny trojan bazujący na wykrytych lukach odczytuje dowolne dane w urządzeniu (wiadomości e-mail i tekstowe, dokumenty etc.), pobiera wszystkie gromadzone w telefonie dane (w tym nazwy kont i hasła. W zasadzie możliwe jest zdalne kontrolowanie wszystkich funkcji telefonu.

Tak szeroki dostęp do danych telefonu związany jest z "rozbieżnościami" w tym jak aplikacje na Androida są weryfikowane i zatwierdzane. Dodatki producentów instalowane w smartfonach mają z założenia znacznie większe uprawnienia, niż większość programów dostępnych w sklepie Google'a - wystarczy "zaktualizować" jedną z takich aplikacji i haker może zrobić z naszym telefonem co tylko mu się podoba. Co gorsze, aby wykorzystać lukę w oprogramowaniu nie jest potrzebna zmiana sygnatur kryptograficznych aplikacji, oznacza to, że zainfekowany program wygląda na w pełni bezpieczny zarówno dla Google Play, jak i dla użytkownika.

Google póki co nie chce komentować sprawy, a o odkryciu Bluebox Labs wie... od lutego. Luka w systemie Android dotyczy praktycznie całego rynku, bo obecna w systemach w wersji 1.6 lub nowszej. Bluebox liczy, że Google oraz producenci telefonów szybko wprowadzą do oprogramowania stosowne poprawki. Czasu mają na to niewiele - w czasie konferencji Black Hat 2013 która ruszy w tym miesiącu, Bluebox zamierza udostępnić zainteresowanym pełną dokumentację dotyczącą swojego odkrycia.