Джеф Фористал от BlueBox заяви, че бъгът се е появил около Android 1.6 Donut и засяга всички устройства, пуснати в последните 4 години, или около 99%.
Рискът обаче няма да бъде толкова сериозен както Фористал предполага, тъй като хакерите ще трябва да минат защитата на Google Play store, а и няма доказателства, че някой се е опитвал да се възползва от този недостатък в системата.
Недостатъкът се базира на "несъответствия"в начина, по който приложенията за андроид се проверяват криптографски, твърди Фористал.
Според правилата за разработчици, всички приложения трябва да бъдат с инсталиран сертификат, като ключът за него е в самия разработчик. Андроид използват тези сертификати, за да разберат дали кодът на приложението или APK файл са сигурни - всяко приложение без такъв сертификат, дори инсталирано на устройство, просто няма да работи.
Това означава, че всяка поверителна информация, съхранявана от приложението, ще бъде достъпна само за версии, удостоверени с оригиналния ключ на разработчика.
Недостатъците на тази система обаче означават, че хакер може да промени кода на приложението, без да се засяга сертификата, а след това да накара Android да си мисли, че приложението е легално, когато това не е така.
Рискът става по-сериозен, ако хакерите променят инсталирани приложения, разработени от производителя на устройството, което им дава същите права като легитимната версия.
BlueBox са разкрили уязвимостта на тази система пред Google през февруари, но са казали, че зависи от производителите на устройства за Андроид дали ще пуснат съответни пачове. Засега от Google не са коментирали случая.
0 on: "Почти всички Android телефони са уязвими?"