Google má bezpečnostní tým nazvaný Project Zero. Cílem je detekovat bezpečnostní zranitelnosti napříč systémy, přičemž se nesoustřeďují jen na produkty společnosti Google. Tentokrát ale došlo k odhalení zranitelnosti typu zero-day, což znamená, že daná chyba byla již zneužita. Kvůli tomu se nečeká na rozšíření opravy a dochází k okamžitému informování všech stran. Problém byl nalezen přímo v Androidu.
Bezpečnostní chyba se dotýká mnoha výrobců
Samotná bezpečnostní chyba, která může kompromitovat celé zařízení není sama o sobě nebezpečná, aspoň z pohledu přímého zneužití. V tomto případě je nutné, aby zde byla interakce ze strany uživatele. Zde se tedy očekává, že majitel zařízení nainstaluje aplikaci využívající tuto chybu, například z neznámých zdrojů. Případně se dá využít ve spojení s další chybou.
Dle zjištění Project Zero týmu jsou postihnuty smartphony společností Google, Samsung, Huawei, Xiaomi, Oppo, Motorola, LG a možná dalších. Nejzajímavější na celé situaci je fakt, že o zranitelnosti se ví již od roku 2017, kdy byla také vydána oprava. Bohužel se nedostala následných verzí jádra Androidu.
Není tedy nutné, aby se hledalo komplikované řešení problému a více méně postačí znovu použít opravenou verzi. V případě Googlu se problém týká jen zařízení Pixel 1 a Pixel 2. Novější zařízení nejsou postihnuta. Aktualizace opravující problém bude vydána v říjnu.
Otázkou je, jak na tom budou ostatní mobily. Není totiž obvyklé, aby společnosti vydávaly aktualizace pro starší modely. Vzhledem k tomu, že zřejmě dochází již k zneužívání zranitelnosti, jsou následná zařízení v ohrožení.
- Huawei P20
- Xiaomi Redmi 5A
- Xiaomi Redmi Note 5
- Xiaomi A1
- Oppo A3
- Moto Z3
- LG mobily s Android Oreo
- Samsung Galaxy S7
- Samsung Galaxy S8
- Samsung Galaxy S9
Zdroj: theverge.com