Ajándékozz éves hvg360 előfizetést!
Androidosok millióit hagyja kiszolgáltatva a hackereknek a Google azzal, hogy egyelőre nem javít egy kritikus sebezhetőséget.
A neves biztonsági cég, a Checkpoint kutatói fedeztek fel egy kritikus, az androidos eszközöket érintő sebezhetőséget, amely lehetővé teszi a hackereknek, hogy jelszavakat, banki adatokat lopjanak el, sőt zsarolóvírusokat juttassanak a készülékre.
A hiba a SYSTEM_ALERT_WINDOW engedéllyel kapcsolatos, ez teszi lehetővé, hogy az appok átfedjék egymást a képernyőn. A 2015 októberében indult Android Marshmallow-tól kezdődően a Google már alapértelmezésben biztosítja ezt a rendkívül kényes engedélyt a Google Play áruházból letölthető appoknál. Éppen erre az engedélyre alapoznak a kiberbűnözők, olyannyira, hogy a Checkpoint statisztikái szerint a zsarolóvírusok 74 százaléka, az adware-ek 57 százaléka és a banki malware-ek 14 százaléka használja ezt az engedélyt a ténykedése során.
A Google ugyan használ egy automatizált malware-szkennert (Bouncer) a Google Playben, azonban hogy ennek a képességei végesek, azt jól jelzi, hogy egyre több olyan hírt kapunk, amely a Google-áruházból, tehát hivatalos helyről letöltött appok fertőzöttségéről számol be. Mindez azt jelenti – állítja a The Hacker News – hogy ismeretlen számú rosszindulatú alkalmazás van jelenleg a Google Play áruházban, amelyeket felruháztak az említett veszélyes engedéllyel.
A legrosszabb hír azonban még hátravan: a Google ugyan reagált a Checkpoint felfedezésére, azonban azzal, hogy tervbe vették, hogy az Android O-ban megvédik a felhasználókat ettől a fenyegetéstől. S hogy mi ebben a rossz? Nos, az Android O feltehetően csak az év harmadik negyedében fog megjelenni, és sok eszköz még az Android N-t (a Nougatot) sem kapta meg. Szóval sok millió androidos érezheti magát fenyegetve az említett biztonsági kockázat miatt.
A The Hacker News néhány tanácsot is ad a kockázat mérséklésére, például hogy a felhasználók óvakodjanak a gyanús alkalmazásoktól, még ha azok a Google Playben is vannak, és mindig olvassák el az appról írt értékeléseket. Még az app telepítése előtt ellenőrizzék, hogy milyen engedélyeket kér, és csak azokat adják meg, amelyek valóban szükségesek a működéséhez.
