A Bluebox mobilbiztonsági cég ma bejelentette, hogy komoly biztonsági rést fedeztek fel az Androidban, ami az elmúlt négy évben piacra dobott, az operációs rendszert futtató összes eszközt érinti. A támadók a sérülékenységet kihasználva megszerezhetik a felhasználók személyes adatait, beleértve a jelszavakat és a személyes dokumentumokat, és átvehetik az irányítást a készülék fölött, például sms-eket küldhetnek, hívást indíthatnak, vagy bekapcsolhatják a készülék kameráját.
Mindez a felhasználók 99 százalékát érintheti – vagyis világszerte körülbelül 900 millió készüléktulajdonost.
Jeff Forristal, a Bluebox technológiai vezetője elmondta, hogy a trójai alkalmazás hozzáférhet az összes, az eszközön tárolt adathoz: emailekhez, dokumentumokhoz és szöveges üzenetekhez, de akár az elmentett felhasználói nevekhez és jelszavakhoz is hozzáférhet.
A sebezhetőség oka, hogy az androidos alkalmazások ellenőrzését és jóváhagyását nem veszik elég szigorúan. A Bluebox szerint ez biztosítja a hekkereknek, hogy átírják az egyes alkalmazások kódját, miközben annak a digitális aláírása nem változik. Emiatt tulajdonképpen bármelyik, teljesen biztonságosnak tűnő alkalmazás hordozhatja a kártékony kódot.
A Google már februárban észlelte a kártékony kódot, majd nyilvánosságra hozta a tényt, amiről értesítette az eszközgyártókat és a fejlesztőket is. A probléma ennek ellenére továbbra is fennáll, mert az Android közel sem annyira egységes és zárt platform, mint az IOS, ráadásul a mobilszolgáltatók és a készülékgyártókelég hanyagul vagy egyáltalán nem frissítik a szoftvereiket. Emiatt az androidos készülékek nem futtathatják a legfrissebb verziójú alkalmazásokat.
Mindez komoly veszélyt jelent az androidos piacra, különösen az ázsiai és európai országokban, ahol több mint ötszáz független alkalmazásbolt érhető el, és igen kevesen követelik meg a szigorú hitelesítési eljárást. Emiatt az alkalmazásokban biztonsági hibák lehetnek, amik megnyitják az utat a hekkereknek. A probléma elhárítása azért nehézkes, mert a gyártók közül sokan az Android egy módosított verzióját telepítik a saját eszközeikre, és ez megnehezíti, adott esetben ellehetetleníti a hibák gyors kijavítását.
A Bluebox szerint minden felhasználónak, aki nem biztos abban, hogy a legfrissebb verziójú szoftvert használja, járjon el nagyon óvatosan, és frissítés előtt azonosítsa a frissítést. Forristal szerint érdemes szoftverforrásként a Google Playt használni, ahol a Google bizonyos szintig képes ellenőrizni és jóváhagyni az ide feltöltött szoftvereket.