Jon Oberheide, teknologisjef i Scio Security, fortalte denne uken, under en Intel-arrangert sikkerhetskonferanse, at han har laget en applikasjon til Android som laster ned ytterligere tre applikasjoner uten at brukeren får vite om eller tillater dette.
Oberheide laget applikasjoner som et konseptbevis på at det er mulig å utnytte denne svakheten i Android til å spre ondsinnet kode. Dette forteller han til CNET.
Konseptbeviset var forkledd som en utvidelse til det populære Angry Bird-spillet, og Oberheide og en kollega fra Intrepidus Group skulle demonstrere applikasjonen under sikkerhetskonferansen. Men i mellomtiden hadde Google slettet applikasjonen fra markedsplassen. Den skal ha ligget der i seks timer.
Til The Register forteller Oberheide at Android har en akkrediteringstjeneste som tilbys for å tillate at applikasjoner ber autorisasjonssymboler. Dette gjøres for at brukerpassord ikke skal gjøres tilgjengelige for tredjepartstjenester. Den aktuelle applikasjonen utnytter en svakhet i dette systemet.
– Den misbruker dette symbolet for å utføre de samme handlingene som den legitime Market-applikasjonen utfører, men uten å be om tillatelse. Gjennom noe av forskningen innså vi at vi kunne bruke dette spesifikke symbolet for Android-tjenesten til å omgår restriksjonene i tillatelsessystemet, forklarer Oberheide.
En talsmann i Google fortalte i går, til både CNET og The Register, at selskapet hadde begynt å rulle ut en feilfiks. Ifølge talsmannen berører denne feilfiksen alle Android-enheter. Hvor raskt den vil nå ut til den enkelte bruker, avhenger av selskapet som leverer Android-oppdateringer til den enkeltes mobiltelefon.
Google anbefaler både nå og ellers at man kun installerer applikasjoner som bruker vet de kan stole på.
Les også:
- [29.12.2010] Android Market-endring irriterer
- [24.11.2010] Sårbarhet i Android åpner for datatyverier
- [08.11.2010] Demonstrerte bakdør til Android