Hlavní navigace

Aktualizační systém Androidu umožňuje aplikacím potichu navýšit práva

Petr Krčmář

V aktualizačním systému Androidu byla objevena zajímavá bezpečnostní trhlina, která umožňuje aplikacím získat vyšší práva, než jaká jim byla přidělena. Výzkum zveřejnila Univerzita v Indianě společně s Microsoftem. Problém spočívá v tom, že aplikace na nižší verzi Androidu definuje vlastní oprávnění, které operační systém ve výchozím stavu nenabízí. Jako příklad je uváděno právo ADD_VOICEMAIL, které není běžně v Androidu 2.3.6 definováno. Proto jej aplikace pro sebe získá, aniž by to systém nějak zajímalo.

Jakmile uživatel přejde na svém zařízení na vyšší verzi Androidu, třeba na 4.0.4, přibude do systému nová funkce s novým oprávněním. Starší aplikace ale oprávnění automaticky získá, přestože o tom uživatel neví. Systém totiž předpokládá, že oprávnění bylo uděleno dříve a vše je v pořádku. V uvedeném příkladu by aplikace potichu získala přístup k hlasové schránce.

Teoreticky může aplikace snížit i nastavení zabezpečení systému, ovlivňovat libovolné webové stránky, aplikace, či třeba do webů podstrčit vlastní JavaScript a sbírat osobní údaje. Výzkum ukázal, že problém existuje ve všech oficiálních vydáních Androidu i ve všech 3522 zkoumaných verzích, které vydal Samsung, LG a HTC.

Našli jste v článku chybu?