A Bluebox Security olyan biztonsági rést talált az Androidban, ami ártalmas kódok futtatását teszi lehetővé. A probléma az operációs rendszer tanúsítványkezelésében, a tanúsítványláncok ellenőrzési mechanizmusában van.

A biztonsági rés egyrészt azért különösen veszélyes, mert a támadáshoz nincs szükség különösebb felhasználói közreműködésre, másrészt az Androidban van néhány "beégetett" tanúsítvány is, amelyeket szintén fel lehet használni a támadáshoz – írja a Biztonságportál. Beégetett tanúsítványok tartoznak többek között az Adobe alkalmazásaihoz és a Motorola által 2011-ben felvásárolt 3LM cég mobil eszközmenedzsment megoldásaihoz is.

A Bluebox Security szerint a hiba az Android 4.4 előtti kiadásait sújtja, amelyek még a korábbi verziójú WebView komponenssel váltak elérhetővé. Bár a WebView-nak már megjelent az a változata, amely nem teszi lehetővé a pluginalapú kódinjektálást, a probléma súlyos – nyilatkozta Jeff Forristal, a Bluebox Security műszaki igazgatója –, mert a forgalomban lévő andriodos készülékek 88 százaléka még a 4.4-es verzoó előtti kiadásokra épül.

A támadási módszer részleteit a pár nap múlva kezdődő Las Vegas-i Black Hat konferencián hozza nyilvánosságra a Bluebox Security.

A Google is súlyosnak ítélte a helyzetet, azonnal lépett

A Google azonnal reagált, és az elkészült frissítéseket már ki is küldte az androidos partnereinek. Azt azonban nem lehet tudni, hogy a biztonsági javítások mikor jutnak el az érintett készülékekre. Emiatt a Google még egy védelmi vonalat beiktatott: a bevezettek a Playben további extra védelmi ellenőrzéseket, amelyekkel remélhetőleg ki tudják szűrni az újonnan felfedezett sebezhetőséggel visszaélő alkalmazásokat. Egyébként állítólag eddig még nem találtak ilyen alkalmazást.