Bezpečnostné chyby sa doposiaľ nevyhli žiadnej verzii operačného systému Android. Niektoré z nich dokázal využiť rôzny škodlivý softvér, iné sa podarilo včas odhaliť expertmi bezpečnostných softvérových spoločnosti. Podľa portálu TheHackerNews bola teraz objavená bezpečnostná chyba s názvom Strandhogg 2.0, ktorá ohrozuje viac ako miliardu Android smartfónov.
Okrem Androidu 10 sa chyba týka všetkých verzií systému
Chybu objavili experti z nórskej bezpečnostnej spoločnosti Promon, ktorí už pred niekoľkými mesiacmi objavili podobnú chybu označovanú ako Strandhogg. Nová sofistikovanejšia verzia tejto chyby má číselné označenie CVE-2020-0096. Táto zraniteľnosť ohrozuje všetky Android smartfóny okrem modelov, ktoré bežia na najnovšej verzii Android 10. Tú zatiaľ má len 15 až 20 % aktívnych zariadení, takže ide veľmi vážny problém.
Aký je princíp chyby?
Podobne ako predošlá chyba aj Strandhogg 2.0 zneužíva multitasking Androidu. Škodlivý softvér vyzerajúci ako bežná aplikácia môže pri otvorení skutočnej aplikácie nad ňou zobraziť vlastné prihlasovacie okno. Ak by nepozorný používateľ vyplnil prihlasovacie údaje s heslom, tak by ich škodlivý softvér preniesol na servery útočníkov. Medzitým by sa tváril tak, ako by dochádzalo k skutočnému prihlasovaniu. Útočník by mal následne k citlivým dátam alebo bankovým účtom používateľa.
Strandhogg 2 je nebezpečný hlavne z nasledujúcich dôvodov:
- pre používateľov je takmer nemožné odhaliť útok.
- dá sa využiť na simulovania prihlasovacieho okna ľubovoľnej aplikácie nainštalovanej na cieľovom zariadení bez potreby konfigurácie.
- môže sa použiť na podvodné vyžiadanie akéhokoľvek povolenia zariadenia.
- môže byť využitá bez root oprávnenia.
- funguje to na všetkých verziách systému Android okrem Androidu 10.
- k využitiu chyby nie je potrebné žiadne povolenie od používateľa.
Chyba by už mala byť opravená
Bezpečnostná spoločnosť Promon nemá žiadne dôkazy o tom, že by niekto chybu využil. Pretože je ale ťažko zistiteľná, tak nevylučuje, že sa tak stalo. Spoločnosť sa ale rozhodla verejne o chybe informovať až potom, čo ju Google opravil. Podľa spoločnosti Google už bola vydaná bezpečnostná záplata, ktorá ju má opravovať. Pokiaľ teda vlastníte smartfón s najnovšou verziou systému Android 10 alebo s najnovšou bezpečnostnou záplatou, tak sa chyby nemusíte obávať.
