Bezpečnostní díra v telefonech Samsung umožňuje přístup k uživatelským datům

Vývojář, publikující na diskuzním fóru XDA Developers pod přezdívkou Alephzain, tvrdí, že v některých telefonech objevil zranitelnost, která umožňuje získat úplnou kontrolu nad zařízením a tím i přístup ke všem datům uloženým ve fyzické paměti. Potenciál této bezpečnostní díry je velký: útočník by například mohl pomocí škodlivé aplikace vymazat data a „bricknout“ zařízení, nebo, což je nejpravděpodobnější scénář, tiše přistupovat k uloženým datům a odesílat je do nepovolaných rukou.

Podle Alephzaina jsou dotčeny telefony s procesory Samsung Exynos 4210 a 4412 – konkrétně pak potvrdil funkčnost na Samsungu Galaxy S III, Galaxy S II, Galaxy Note II a Meizu MX.

Zatímco Samsung, ač byl údajně informován, problém ještě nepotvrdil ani nekomentoval, díra již je využívána. Vývojář s nickem Chainfire naprogramoval aplikaci, využívající uvedenou chybu, která získá práva roota a nainstaluje nejnovější SuperSU „na každém zařízení postaveném na platformě Exynos 4“.

Kompatibilní (a tím pádem i zranitelná) by měla být následující zařízení:

• Samsung Galaxy S II GT-I9100
• Samsung Galaxy S III GT-I9300
• Samsung Galaxy S III LTE GT-I9305
• Samsung Galaxy Note GT-N7000
• Samsung Galaxy Note II GT-N7100
• Verizon Galaxy Note II SCH-I605
• Samsung Galaxy Note 10.1 GT-N8000
• Samsung Galaxy Note 10.1 GT-N8010

„Měli byste se velmi obávat tohoto způsobu zneužití,“ napsal Chainfire, „neboť každá aplikace může (využít chybu) k získání práv roota bez dotazů a bez požadavků na oprávnění na zranitelném zařízení.“Je třeba poznamenat, že v těchto okamžicích není znám žádný malware, který by uvedenou chybu zabezpečení využíval. Dotčená jsou pouze zařízení s procesory Exynos 4 – například Nexus 10 je imunní, neboť má procesor Exynos 5.

Vývojář Supercurio vydal opravu pro tento problém, takže pokud nechcete čekat na reakci Samsungu, račte se podívat na Project Voodoo, kde jsou odkazy pro stažení neoficiálního opravného balíčku.

Charakteristika této aplikace:

• Funguje na každém zařízení.
• Zjistí, zda je zařízení zranitelné či nikoli a nabídne opravu.
• Pro aplikaci opravy nevyžaduje root.
• Nemění nic v systému, nekopíruje soubory, ani nic neflashuje.
• Opravu lze libovolně povolit nebo zakázat.
• Je zdarma.

Project Voodoo – neoficiální záplata

Project Voodoo

Omezení:

• Na Galaxy S III s oficiálním firmwarem může při aktivaci narušit funkci předního fotoaparátu.
• Může změnit funkce HDMI výstupu na některých zařízeních (nepotvrzené).
• Nelze chránit účinně proti některým potenciálním útokům (např. během bootování).
• Jediným skutečným řešením této chyby zabezpečení bude oprava od výrobce.
• Bez jakékoliv podpory nebo záruky.

Na redakčním Samsungu Galaxy S II s CyanogenModem 9.1 aplikace oznámila, že systém není zranitelný.

Galaxy S II s CyanogenModem 9.1 prý není zranitelný.

Pokud jste jedním z milionů lidí, kteří vlastní Galaxy Note I, Galaxy S II, S III, nebo jiné zařízení běžící na Exynosu 4210 nebo 4412, pak především buďte velmi opatrní při stahování a instalaci aplikací. Vždy nejprve zkontrolujte hodnocení a recenze, jakož i seznam požadovaných oprávnění.

Zdroje: The Next Web, Project Vodoo, XDA Developers, Android Headlines, IT World, The Register a Android Central.