Experti z Michiganskej univerzity a Kalifornskej univerzity v Riverside skúmali bezpečnosť operačného systému Android. Odhalili pritom jednu veľkú bezpečnostnú dieru, ktorú dokáže potenciálne využiť každá aplikácia bez toho, aby k tomu potrebovala špeciálne oprávnenia. Aplikácie takto dokážu ukradnúť užívateľom citlivé dáta a narobiť veľké množstvo škody.
Výskumníci zistili, že operačný systém Android poskytuje aplikáciám informácie o iných aplikáciách v podobe množstva aktuálne zdieľanej pamäte. Vďaka tomu je s veľmi vysokou presnosťou možné zistiť, v akom štádiu sa sledovaná aplikácia nachádza v každom momente. Na prvý pohľad to možno neznie nebezpečne, no teoreticky je takto možné odsledovať aj to, kedy sa má na displeji zobraziť obrazovka s prihlasovacími údajmi. Ak by to pirátska aplikácia zistila, mohla by túto obrazovku nahradiť vlastnou, do ktorej by nič netušiaci užívatelia zadali svoje prihlasovacie údaje a tie by potom hacker mohol využiť na vlastné potreby.
Takáto funkcionalita sa pritom môže skrývať v akejkoľvek aplikácií. Najhoršie na tom je, že užívateľ sa o tomto podvodnom správaní nemusí nikdy dozvedieť. Aplikácia môže teoreticky zobraziť hlásenie o chybe a vyzvať užívateľa k opätovnému zadaniu údajov, no tentokrát už do správnej aplikácie. Užívateľ si tak nič nevšimne a hacker získa citlivé údaje. Samozrejme, k tomu je ešte potrebné, aby “infikovaná” aplikácia mala povolenie pripájať sa na internet, inak nebude mať hacker možnosť tieto údaje z hostiteľského zariadenia získať. Vedci dokonca túto slabinu otestovali. Správanie aplikácie dokázali iba z údajov o zdieľanej pamäti odhadnúť s presnosťou na 82% až 92%, čo je naozaj alarmujúce číslo.
Je veľmi zaujímavé, že aj takéto na prvý pohľad neškodné údaje dokážu prezrádzať tak veľa informácií a vystaviť užívateľov možnému riziku. Keďže nejde o nejakú očividnú bezpečnostnú chybu, ale v podstate o súčasť samotného systému, zrejme nebude ani veľmi jednoduché túto slabinu odstrániť. Podľa expertov by sa podobná chyba mohla teoreticky vyskytovať aj na zariadeniach so systémom iOS a Windows Phone, no tie výskumníci neotestovali v praxi.
Zdroj: UCRtoday