Odkryto nową lukę bezpieczeństwa w systemie Android. Tym razem okazało się smartfon może bez naszej wiedzy wykonywać połączenia na numery premium.
Luka została wykryta przez Curesec i zgłoszona do Google pod koniec ubiegłego roku, jednak dopiero teraz zdecydowano się ją upublicznić. Według specjalistów od bezpieczeństwa, błąd pojawił się po raz pierwszy w Androidzie 4.1.x Jelly Bean. Google wprowadziło już stosowne poprawki, jednak są one dostępne wyłącznie na Androidzie 4.4.4 KitKat, który zadebiutował 19 czerwca. Reszta wersji jest wciąż narażona.
Błąd w systemie umożliwia wykonywanie połączeń telefonicznych aplikacjom, które oficjalnie nie posiadają takich uprawnień. Luka pozwala również na aktywowanie specjalnych kodów operatora (USSD), dzięki którym można sprawdzić stan swojego konta, włączyć roaming, pakiet internetowy itp. W niektórych przypadkach kody USSD pozwalają na zresetowanie ustawień urządzenia i usunięcie wszystkich prywatnych danych.
Oczywiście moment wykonywania połączenia jest widoczny na wyświetlaczu, jednak podstawiona aplikacja może być napisana w taki sposób, aby aktywowała swoje funkcje w momencie, gdy smartfon pozostaje bezczynny np. przez 30 minut lub w nocy, gdy śpimy. Dzięki wykrytej luce cyberprzestępcy mogą nawet zmienić nasz numer PIN i zablokować kartę SIM, wpisując niepoprawny PUK.
Google jest świadome problemu i skanuje aktualnie sklep Play w poszukiwaniu podejrzanych aplikacji. Niestety wszystko wskazuje na to, że użytkownicy starszych wersji Androida nie otrzymają zbyt szybko aktualizacji, która zabezpieczy ich przed wyżej wymienionymi zagrożeniami.
Źródło: mobtech.interia.pl