Mnogokrat ne pomislimo, da je naš pametni telefon v resnici mali računalnik in kot takšen zelo dovzeten za viruse in napade hekerjev. Ameriško podjetje za spletno varnost Zimperium je opozorilo na zelo nevarno pomanjkljivost operacijskega sistema Android. Namreč mobilne telefone, ki uporabljajo ta operacijski sistem, lahko okuži že prejem MMS sporočila, še preden ga uporabnik sploh prebere.
Gre za verjetno največjo pomanjkljivost, ki so jo kadarkoli odkrili pri pametnih telefonih. Strokovnjaki so ocenili, da lahko prizadene 950 milijonov mobilnikov, kar je 95 odstotkov vseh telefonov s sistemom Android,ki so v uporabi.
Težava izvira iz načina, na katerega tovrstni mobilniki analizirajo prejeta sporočila. Še preden sporočilo odprete, telefon prične samodejno obdelovati dohodne medijske datoteke, vključno s slikami ter zvočnimi in video posnetki. To pomeni, da lahko zlonamerne vsebine okužijo vaš telefon takoj, ko takšno sporočilo prejmete, torej še preden ga preberete, so pojasnili na Zimperiumu.
Če vam vse skupaj zveni zelo znano, je to zaradi tega, ker ta Androidova pomanjkljivost spominja na nedavna hekerska sporočila, ki so jih prejemali uporabniki Appla.
Vendar je v tistem primeru sporočilo s točno določenimi pravimi znaki lahko ''zamrznilo'' iPhone ali ga prisililo, da se ponovno zažene. Ta Androidova napaka pa je hujša, saj lahko heker pridobi popoln nadzor nad vašim telefonom: izbriše lahko podatke, dostopa do vaših aplikacij ali pa naskrivaj vklopi vašo kamero.
V izjavi za CNN so v podjetju Google to pomanjkljivost priznali. Zagotovili so, da ima operacijski sistem Android sicer načine za omejevanje hekerskih dostopov do določenih aplikacij in funkcij telefona. A so v preteklosti te omejitve hekerji že obšli.
Virus lahko prizadene kateri koli telefon, ki uporablja programsko opremo Android, ki je bila izdelana v zadnjih petih letih, so pojasnili na Zimperiumu. To vključuje naprave, ki uporabljajo različice Android Froyo, Gingerbread, Honeycomb, Ice Cream Sandwich, Jelly Bean, KitKat in Lollipop (Google svoje različice Androida poimenuje po sladicah).
Na Zimperiumu so povedali, da so Google o tej napaki posvarili 19. aprila ter jim tudi priskrbeti rešitev težave. Podjetje trdi, da so z Googla odgovorili že naslednji dan, in jim zagotovili, da v prihodnosti uporabnikom ponudili posodobitev programske opreme, ki bo preprečevala možnost tovrstne zlorabe.
Običajno imajo v takšnih situacijah podjetja 90-dnevni rok za izdajo rešitve težave. To pravilo sicer upošteva tudi Google, ko najde napake pri drugi programski opremi. Vendar je minilo že 109 dni, popravek pa še vedno ni širše dostopen. Zaradi tega so se v Zimperiumu odločili, da o tej pomanjkljivosti Androida obvestijo širšo javnost.
Vprašanje sedaj je, kako hitro bo Googlu uspelo popraviti to napako za vse. Medtem ko Apple lahko vsem uporabnikom naloži nujno posodobitev, tega Google ne more storiti.
Google je zloglasen zaradi svojega distribucijskega sistema, saj med njim in njegovimi uporabniki stoji več vmesnih subjektov, kar upočasnjuje izdajanje nove programske opreme. Gre za telefonske operaterje in izdelovalce samih fizičnih naprav; vsi morajo namreč usklajeno delovati, da lahko izdajo posodobitve.
Google je za CNN povedal, da so že poslali rešitev svojim ''partnerjem''. Vendar pa ni jasno, ali je kdo med njimi že pričel z izdajo posodobitev samim uporabnikom.
Zaradi tega se je Google odločil, da bodo njihovi telefoni Nexus prvi, ki bodo prejeli te posodobitve. Ta primer pa tudi kaže, zakaj je tako pomembno, da uporabniki posodobitve prejmejo v najkrajšem možnem času.
''Zanima me, ali bo Google našel način, da bi lahko naprave posodabljal na daljavo,'' je povedal Chris Wysopal, sicer dolgoletni heker, zdaj direktor podjetja za spletno varnost Veracode. ''Če tega ne morejo narediti, potem je pred nami velikanska katastrofa,'' je opozoril.
Do zdaj še ni bilo tovrstnih napadov, a gre za zelo resno grožnjo
Da gre za zelo resno grožnjo, je za 24ur.com potrdil tudi Tadej Hren iz nacionalnega odzivnega centra za obravnavo incidentov s področja varnosti elektronskih omrežij in informacij SI-CERT. Povedal je, da na srečo do zdaj še ni prišlo do tovrstnih napadov. Po njegovih besedah so na varnostno luknjo opozorili strokovnjaki, ki so jo našli v programski knjižnici Stagefright, ki je ena izmed osnovnih knjižnic sistema Android in skrbi za prikaz medijskih datotek.
"Samo ranljivost se lahko izkoristi na različne načine, pri enem izmed bolj enostavnih scenarijev bi lahko napadalec žrtvi zgolj s poznavanjem njegove telefonske številke poslal posebej prirejeno MMS sporočilo z vključenim posnetkom, ki bi ob prejemu na žrtvinem telefonu izkoristilo ranljivost prej omenjene knjižnice. Če za MMS sporočila uporabljamo aplikacijo Hangouts, se ranljivost aktivira, ne da bi uporabnik karkoli naredil (npr. tudi med spanjem), če pa uporabljamo privzeto aplikacijo za sporočila, se ranljivost aktivira ob ogledu sporočila," je pojasnil Hren.
Z aktiviranjem zlonamerne opreme pa napadalec lahko dobi vsaj direkten dostop do mikrofona, kamere in medija za shranjevanje, v nekaterih primerih pa bi lahko pridobil tudi dostop do samega jedra sistema, kar bi mu dalo praktično neomejen dostop do celotne naprave, je še opozoril.
Povedal je, da do zdaj sicer še ni prišlo do izkoriščanja te ranljivosti, saj o njej še ni znanih konkretnih detajlov. Ker so strokovnjaki o pomanjkljivosti obvestili Google, ta kot rečeno že pripravlja popravke. "Te popravke morajo potem ostali proizvajalci Android naprav (Samsung, Sony, LG ...) vnesti v svojo programsko kodo in jo posredovati na naprave uporabnikov (t.i. Over-the-air update). Tu pa zna biti velik problem, saj ti proizvajalci običajno ne posodabljajo naprav, ki so starejše od 1,5 - 2 let. Glede na to, da se ranljivost nahaja tudi v Android verziji 2.2, ki je bila izdana že pred 5 leti, bo verjetno precej starejših telefonov ostalo ranljivih tudi po 5.8., ko bodo podatki o ranljivosti javno objavljeni, s čemer se bodo verjetno na široko odprla vrata za izkoriščanje ranljivosti v napadih," je pojasnil.
Zaključil je, da uporabniki zaenkrat ne moremo veliko storiti, temveč lahko le počakamo na popravke programske opreme za naše naprave.
KOMENTARJI (194)
Opozorilo: 297. členu Kazenskega zakonika je posameznik kazensko odgovoren za javno spodbujanje sovraštva, nasilja ali nestrpnosti.