A biztonsági kutatók találtak egy hibát az Android operációs rendszerekbe integrált hibaszűrő és -javító komponensben, a Debuggered-ben. Ez a hiba kombinálható más bugokkal, és így akármilyen kódot lefuttathatnak az eszközön.
A sérülékenység jelen van az összes Android verzióban, kezdve a 4.0-tól (Ice Cream Sandwich) az 5.x-ig (Lollipop), amelyek jelenleg a mobileszközök 94,1%-án futnak.
A hivatalos statisztikák szerint a legtöbb androidos felhasználó (39,2%) az operációs rendszer 4.4-es buildjét futtatja, ismert nevén a KitKat-et, ezt követi a JellyBean 37,4%-al. Az OS legutóbbi verziója, a Lollipop mindössze 12,4%-kal részesedik az androidos piacból.
A Trend Micro felfedezte, hogy a támadók készíthetnek egy speciális ELF (Executable és Linkable Format – végrehajtható és linkelhető formátum) fájlt, amitől a debugger összeomlik, és megtekinthetőek a dump (szemét) és log (napló) fájlok, hogy információt szerezzenek a memóriában tárolt adatokról.
Azt mondják, hogy a glitch önmagában nem alkalmas kód futtatására, de az információ, amelyhez hozzáférést biztosít, kihasználható arra, hogy kikerüljék az ASLR (címterület elrendezésének véletlenszerűsítése) védelmet. Miután ez megvan, az ellenséges kód máris futtatható az eszközön.
A hiba kihasználható DdoS (túlterheléses) támadás kivitelezéséhez is, a beépített hibakereső folyamatos összeomlásra kényszerítésével.
„Ezt a sérülékenységet kihasználhatja egy kártékony vagy újracsomagolt alkalmazás, amit letöltünk az eszközünkre, bár a hatása meglehetősen korlátozott”, hangsúlyozza a Trend Micro szakembere, kiemelve, hogy önmagában nem alkalmas kártékony kód futtatására.
A javítás már elérhető, de a felhasználók nem valószínű, hogy hamar hozzájutnak.
A Trend Micro már április 27-én jelezte a sérülékenység felfedezését a Google-nek, akik alacsony súlyosságú kategóriába sorolták a problémát.
Pillanatnyilag még nem áll rendelkezésre javítás a felhasználók részére az érintett Android verziókhoz, de a javítást magát beépítették az OS következő kiadásába (Android M), amely október, november körül jelenik meg.
A javítás szintén jelen van már az Android Open Source Project (AOSP) kódjában május 15. óta, úgyhogy integrálható lenne az eszköz gyártók által, hogy kitolják a felhasználók felé, de sajnos az eddigi tapasztalat azt mutatja, hogy az ilyen dolgok mindig csak jelentős csúszással történnek meg.
Forrás: Softpedia
