Bezpečnostní chyba se týká telefonů se systémem Android několika značek

Bezpečnostní chyba se týká telefonů se systémem Android několika značek

Závažná bezpečnostní chyba se týká mobilních zařízení společností ASUS, Fairphone, Lenovo, Microsoft, Nokia, Nothing a Vivo.

Systém Android je nejrozšířenějším mobilním operačním systémem na světě s tržním podílem 71 %, což vedlo kyberzločince k tomu, že se na něj zaměřili a vytvořili malware, který jim umožňuje infikovat co nejvíce zařízení a ukrást data uživatelů, například jejich bankovní přihlašovací údaje nebo soukromé informace.

Bezpečnostní nedostatky systému Android však nejsou vždy způsobeny malwarem, protože se občas stává, že samotná konfigurace operačního systému Google skrývá zadní vrátka, která umožňují škodlivým subjektům získat kontrolu nad telefony uživatelů.

Přesně to se nedávno stalo, protože únik informací odhalil bezpečnostní trhlinu v systému Android, která se týká stovek telefonů různých značek a je způsobena řadou chyb nalezených v AOSP (Android Open Source Project).

Tato bezpečnostní chyba se týká například zařízení ASUS Zenfone 9, vivo X90 Pro, Nothing Phone (2) a Fairphone 5.

Nedávno odborník na Android Mishaal Rahman zveřejnil na X příspěvek, ve kterém odhaluje, že odborník na kybernetickou bezpečnost Tom Hebb sdílel na webu Meta Red Team X zprávu, ve které vysvětluje, že zjistili, že zařízení se systémem Android od několika významných značek „podepisují moduly APEX (aktualizovatelné jednotky vysoce privilegovaného kódu operačního systému) pomocí soukromých klíčů z veřejného úložiště zdrojových kódů systému Android“.

Tom Hebb z Meta’s Red Team X zveřejnil technický zápis pro CVE-2023-45779, který odhaluje, že několik OEM výrobců Androidu, jako jsou ASUS, Fairphone, Lenovo, Microsoft, Nokia, Nothing a Vivo, podepisovalo některé své moduly APEX pomocí veřejně dostupných testovacích klíčů… https://t.co/E0NauPEPyH pic.twitter.com/IzvtQ2x9Bw-

Mishaal Rahman (@MishaalRahman) 30. ledna 2024

To je opravdu závažná chyba, protože kdokoli může zfalšovat aktualizaci APEX pro některý z těchto telefonů a získat nad ním plnou kontrolu.

Pokud jde o to, kdo je za toto narušení bezpečnosti zodpovědný, Hebb z něj neviní samotné výrobce, ale chybu v konfiguraci AOSP, open source projektu Androidu:

„Spíše než nedbalost konkrétního výrobce (OEM) se domníváme, že hlavní příčinou tohoto problému bylo nezabezpečené výchozí nastavení, špatná dokumentace a neúplné pokrytí CTS v projektu Android Open Source Project (AOSP).“

Úplný seznam zařízení, která mohla být touto bezpečnostní chybou postižena, je následující:

  • ASUS Zenfone 9
  • vivo X90 Pro
  • Nokia G50
  • Microsoft Surface Duo 2
  • Lenovo Tab M10 Plus
  • Nic Telefon (2)
  • Fairphone 5

Toto jsou telefony, kterých se týká nedávno objevená bezpečnostní chyba v systému Android.

Ať tak či onak, pokud máte některé z těchto zařízení, nemusíte se obávat, protože, jak vysvětluje Rahman, tuto bezpečnostní chybu mohou skuteční útočníci jen těžko zneužít a navíc většina postižených výrobců již tento problém opravila pomocí bezpečnostní záplaty z prosince 2023.