באג בן 4 במערכת ההפעלה אנדרואיד מאפשר, כביכול, להחדיר קוד זדוני אל תוך אפליקציות מאובטחות בלי לשבור את מנגנון האבטחה שלהן. חברת האבטחה Bluebox Labs הודיעה כי תציג החודש בכנס ההאקרים Black Hat פרצה אותה מצאה. לטענת אנשי החברה, הפרצה רלוונטית ל-99 אחוזים ממכשירי אנדרואיד הנמצאים בשוק כיום, זאת מכיוון שהיא קיימת באנדרואיד עוד מגרסה 1.6 שלה (כיום אנדרואיד נמצאת לפני השקת גרסה 4.3).
בדרך כלל, לאחר סיום פיתוח האפליקציה חותמת היצרנית על קובץ ההתקנה שלה, חתימה ש"נהרסת" אם מישהו מנסה להחדיר קוד זדוני לתוך האפליקציה. החוקרים ב-Bluebox גורסים כי פתרון שמצאו מאפשר החדרת קוד ללא הרס החתימה, ולפיכך גם ללא היכולת של מערכת ההפעלה אנדרואיד לזהות שמשהו לא בסדר בעדכון.
ב-Bluebox אומרים כי דיווחו על הפרצה לגוגל עוד בחודש פברואר, וזו כבר אבטחה את חנות האפליקציות שלה כך שלא ניתן יהיה להפיץ דרכה אפליקציות שהודבקו באמצעות הפרצה. הדבר לא תקף, עם זאת, לחנויות צד שלישי - כדי למנוע מהיישומים הנגועים לפעול על הטלפון נדרשת התקנת טלאי בידי יצרנית הטלפון. וכך, לגלקסי S4 כבר יצא טלאי שמתקן את הפרצה, אך למכשירים רבים אחרים לא. גרוע מכך, מכשירים שהפסיקו לקבל עדכונים לא יזכו לפתרון מלא מפני חור האבטחה. נקודת האור בסיפור הזה היא שלא ידוע על מקרים בהם הפרצה שימשה נוכלים - ככל הידוע כיום, היא התגלתה לראשונה על ידי חוקרי אבטחה.
פרצה בת 4 מסכנת מכשירי אנדרואיד
4.7.2013 / 19:04