Android Master Key luknja
Mandi
17. jul 2013 ob 21:59:52
Ameriško varnostno podjetje Bluebox je nedavno objavilo podrobnosti o posebej zoprni varnostni pomanjkljivosti v Androidu - Master Key Vulnerability - ki omogoča spreminjanje vsebine podpisanih aplikacij (.apk paketov), brez da bi se Android nad tem pritožil. Skratka, napadalec lahko vzame obstoječo aplikacijo, jo spremeni (zamenja s trojancem) in ponudi uporabniku, ki ne bo opozorjen na to, da se je nekdo poigral z vsebino. Še huje: napaka obstaja že vse od Androida 1.6 Donut (september 2009), tako se lahko potencialno okužijo (ali pa so že okuženi) skoraj vsi Android telefoni.
Popravek za luknjo je sicer trivialen - bojda vsega dve vrstici - in Google ga je že vključil v zadnjo verzijo Androida (AOSP). Obenem so poskrbeli, da v uradni Play trgovini več ni aplikacij, ki bi morda poskušale izkoriščati to luknjo.
Seveda pa to še ne pomeni, da bo popravek kaj kmalu prišel tudi do vašega telefona; za to morajo navsezadnje poskrbeti proizvajalci oz. operaterji, ki pa se temu še kako upirajo, ker bi namesto metanja denarja za vzdrževanje starih telefonov raje prodali kakšnega novega. Fragmentacija Android ekosistema, za katero vsi vodilni Googlovci tako radi trdijo, da ni hud problem, tukaj res pokaže vse svoje zobe. Apple bi tovrstno luknjo hitro pokrpal in poskrbel za popravek za vse svoje uporabnike.
Uporabnikom Androida ne preostane drugega kot previdnost; ne nameščati aplikacij zunaj uradne Play trgovine (prenosi s spletnih strani, neuradnih aplikacijskih trgovin, preko mejla, preko usb-ja), ker se lahko zgodi, da se bo za legitimno aplikacijo skrival malware. Posebej nevarno je posodabljati katero od operaterjevih aplikacij, ker imajo te bistveno več sistemskih pravic. Kar se tiče popravka, je potrebno pač počakati na svojega operaterja, ali pa rootniti napravo in namestiti stock Android, če je to možno. Še ena možnost pa prihaja iz skupnosti, ki je izdala neuradni popravek ReKey, ki okvarjeno kodo zamenja kar med delovanjem. Avtorja pravita, da bi tovrsten način dostave varnostnih popravkov v obliki "3rd-party" aplikacij in morda za plačilo lahko predstavljal eno od možnih rešitev za fragmentirani Android ekosistem.