Ještě nedávno obsahovala aplikace Google pro operační systém Android, která má k dnešnímu dni více než pět miliard instalací, vážnou zranitelnost. Ta mohla případnému útočníkovi umožnit tichou krádež osobních údajů ze zařízení oběti.
Trhlinu odhalil zakladatel startupu Oversecured Sergej Tošin, jež se nedávno vyznamenal objevem celé řady bezpečnostních chyb v aplikacích předinstalovaných v telefonech Samsung. V příspěvku na svém blogu uvedl, že zranitelnost souvisí s tím, že aplikace Google spoléhá na kód, který není její součástí.
Díra v aplikaci Google
Mnoho programů pro Android, včetně zmíněné aplikace Google, snižuje velikost stahovaných dat a úložiště potřebného k běhu tím, že se spoléhají na knihovny kódu, které jsou již v telefonech se systémem Android nainstalovány.
Chyba v kódu aplikace Google však způsobila možnost snadné záměny legitimní knihovny za knihovnu škodlivé aplikace. To by takové aplikaci umožnilo zdědit oprávnění, čímž by získala téměř úplný přístup k datům a údajům uživatele.
Škodlivá knihovna by se tak mohla dostat například k účtům Google, historii vyhledávání, e-mailům, textovým zprávám, kontaktům a historii hovorů. Měla by také možnost aktivovat mikrofon a kameru či zjišťovat aktuální polohu zařízení.
Už je zalepeno
Tošin uvedl, že k tomu, aby tato forma útoku fungovala, stačí jednou spustit škodlivou aplikaci. Samotný útok pak již probíhá zcela bez vědomí a souhlasu oběti. Odstranění škodlivé knihovny by podle něj nemuselo odstranit škodlivé komponenty z aplikace Google.
Expert pochopitelně chybu nahlásil Googlu. Mluvčí společnosti informoval, že zranitelnost byla v průběhu května opravena. Zdůraznil, že v tuto chvíli neexistují žádné důkazy o tom, že by bezpečnostní díra byla aktivně zneužívána k jakýmkoli útokům.
Tošin uvedl, že zranitelnost aplikace Google je podobná jiné chybě, kterou na začátku tohoto roku objevil v aplikaci TikTok. Tato bezpečnostní trhlina mohla v případě zneužití útočníkovi umožnit ukrást tokeny relace uživatelů TikToku a kompletně převzít kontrolu nad jejich účty.
