Na GitHubie pojawił się dowód na to, że telefony z Androidem aż 7 producentów są podatne na bardzo niebezpieczny atak. Dzięki niemu możliwe jest uzyskanie pełnej kontroli nad urządzeniem.
Winny całemu zamieszaniu jest moduł APEX w Androidzie, który pozwala na szybkie, mniejsze aktualizacje poszczególnych komponentów. Okazuje się, że na urządzeniach 7 producentów możliwe jest wykorzystanie testowych kluczy AOSP (Android Open Source Project), aby właśnie za pośrednictwem takich aktualizacji wgrać szkodliwe oprogramowanie.
W teorii takie aktualizacje powinny być podpisane prywatnym kluczem, który znany jest tylko producentom danych urządzeń. Okazuje się, że w kilku przypadkach zadziałały klucze testowe, które dostępne są publicznie. Oznacza to, że niemal każdy, kto ma odpowiednią wiedzę, może przeprowadzić tego typu atak.
Podatność, oznaczona jako CVE-2023-45779, została sprawdzona na urządzeniach 7 producentów: ASUS (Zenfone 9), Microsoft (Surface Duo 2), Nokia (G50), Nothing (Phone 2), VIVO (X90 Pro), Lenovo (Tab M10 Plus) oraz Fairphone (5). Nie wiadomo, czy zadziała ona na wszystkich modelach tych marek, ale jest na to spora szansa.
Natomiast ataku nie udało się przeprowadzić na sprzętach takich firm, jak: Google (Pixel), Samsung (Galaxy S23), Xiaomi (Redmi Note 12), OPPO (Find X6 Pro), Sony (Xperia 1 V), Motorola (Razr 40 Ultra), a także OnePlus (10T).
Dużym pocieszeniem jest fakt, że do ataku konieczny jest fizyczny dostęp do urządzenia, więc nie da się go przeprowadzić zdalnie. Poza tym Google wydał już stosowną poprawkę, więc wszystkie modele, które zostały zaktualizowane, są bezpieczne. Między innymi dlatego tak ważne jest, aby dbać o swoją elektronikę i aktualizować ją, gdy tylko stosowne patche są dostępne.
Zobacz: Mnóstwo osób ryzykuje, ładując telefon. Tak twierdzą fachowcy
Zobacz: Nowy trik telemarketerów. Jest tak zwodniczy, że chcą go zakazać
Źródło zdjęć: Shutterstock
Źródło tekstu: BleepingComputer, oprac. własne