Experti analyzovali obrovské množství firmware a výsledek byl velmi znepokojující . V mnoha případech bylo možné volně přistupovat k velmi nebezpečným funkcím, které by mohly útočníkovi umožnit například přepsat firmware zařízení, obejít zabezpečení systému Android, exfiltrovat data a další. Dále bylo odhaleno, že prakticky každé zařízení přijímá AT příkazy i prostřednictvím USB portu a často i v uzamčeném stavu, takže by je bylo možné zneužít i prostřednictvím záškodnické nabíječky nebo dokovací stanice.

Skupina výzkumníků provedla zajímavou studii zařízení od 11 výrobců postavených na systému Android, v níž se zaměřila na jejich zpracování tzv. AT příkazů . AT příkazu jsou krátké textové řetězce, které lze předat přes telefonní linku nebo modem a které umožňují v zařízení spouštět a kontrolovat celou řadu operací, jako je vytáčení čísla, zavěšení, změna parametrů spojení a další. Existuje standardizovaná sada příkazů, které musí každé zařízení zvládat, ale většina výrobců přidává ještě další vlastní, např. pro ovládání kamery nebo dalších specifických funkcí.

K oznámení byl přiložen i odkaz na Git repozitář s proof-of-concept kódem. Ten byl následně vyzkoušen dalším odborníkem, který potvrdil jeho funčnost, a to na plně záplatovaných 64bitových Windows 10. Microsoft velmi pravděpodobně chybu opraví již v úterý 11.9. v rámci svého pravidelného balíčku oprav, ale do té doby zatím není známa (k datu psaní tohoto článku) žádná možnost opravy svépomocí a všechna dotčená zařízení zústávají zranitelná.

Úspěšná hra Fortnite nepřímo ohrožuje své hráče

Online hra Fortnite od firmy Epic Games se od svého uvedení stala velkým hitem (125 milionů registrovaných hráčů během roku). Bohužel její mobilní verze pro systému Android není distribuována prostřednictvím oficiálního kanálu Google Play, ale prostřednictvím vlastní platformy. Důvody k tomuto kroku se dají snadno domyslet/pochopit, nicméně jeho důsledkem je fakt, že uživatel na svém telefonu musí potvrdit instalaci software z nedůvěryhodných zdrojů. Výrobce hry tak tímto defakto namaloval nemalému množství svých uživatelů na záda obrovský terč, do kterého se může nyní začít celá řada podvodníků začít trefovat. Rychlé hledání na Youtube s textem „How to install Fortnite on Android“ vede na obrovské množství podvodných videí, které často obsahují přímý link i na APK balíčky a uživatel si díky nim sám do telefonu nainstaluje malware.

Ve zkratce

Pro zasmání

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET.