Uživatelé OS Android poslední dobou zažívají krušné časy. Po zranitelnosti Stagefright a dalších výmolech, jako Certifi-gate a CVE-2015–3823, přichází další. Tentokrát nalezli novou kritickou zranitelnost s označením CVE-2015–3825 v komponentě OpenSSLX509Certificate experti ze společnosti IBM. Za pomoci upravené aplikace jí může útočník využít k povýšení nulových práv takové aplikace až na nejvyšší možná práva.
Pokud uživatel stáhne a spustí zmíněnou aplikaci, stáhne se automaticky do zařízení další kód (včetně kódu pro eskalaci práv), který nahradí dosavadní legitimní aplikaci.
Chyba se týká všech verzí systému Android od 4.3, včetně posledního vydání Android M. Celkově by podle odhadu mělo být postiženo 55 % všech mobilních zařízení se systémem Android. Proof-of-concept můžete shlédnout na videu níže.
Bezpečnostní experti z IBM navíc nalezli další zranitelnosti v balících Android Software Development Kit (SDK), které umožňují útočníkovi spustit kód z aplikací využívající tyto SDK.
Všechny chyby již nahlásili společnosti Google. Více informací o zmíněných bezpečnostních chybách naleznete v příslušném dokumentu.
(Zdroj: SecurityAffairs)