Warto zaznaczyć, że na razie pracownicy Symanteca nie odnotowali żadnych prób wykorzystania takich wiadomości do atakowania użytkowników - wydaje się, że większość tworzonych przez aplikacje SMS-ów używana jest do celów reklamowych i marketingowych. "Możemy jednak wyobrazić sobie sytuację, w której ktoś za pomocą stworzonego bezpośrednio w telefonie SMS-a próbuje zachęcić odbiorcę np. do przekazania poufnych informacji czy wykonania jakiegoś niebezpiecznej operacji" - komentuje Mario Ballano z Symanteca.

O błędzie w Androidzie, który pozwala aplikacjom na zapisywanie SMS-ów w skrzynce odbiorczej użytkownika, dowiedzieliśmy się zaledwie kilka dni temu - poinformowali o tym w ubiegłym tygodniu naukowcy z North Carolina State University, którzy analizowali Android Open Source Project (AOSP) pod kątem nieznanych luk w zabezpieczeniach.

Zobacz również:

• Użytkownicy Androida mogą się wkrótce zdziwić
• Wdrożono system, który ochroni nas przed niechcianymi wiadomościami SMS
• Luka w zabezpieczeniach WordPress

Okazało się, że odpowiednio zaprojektowana aplikacja jest w stanie samodzielnie stworzyć i umieścić w folderze odbiorczym wiadomość tekstową o dowolnej treści i sfałszowanym numerze nadawcy. Informacje na temat tego problemu przekazano już zespołowi Google’a odpowiedzialnemu za rozwijanie Androida - jego przedstawiciele zapowiedzieli, że błąd zostanie skorygowany, aczkolwiek nie sprecyzowali, kiedy dokładnie to nastąpi.

"Wykryliśmy w sumie ok. 250 aplikacji dla Androida, które wykorzystują ten błąd do tworzenia wiadomości SMS - ok. 200 z nich jest dostępne w oficjalnym repozytorium aplikacji dla tego systemu, czyli Google Play. Niektóre z nich używają owej luki dla dobra użytkowników - np. by lepiej zintegrować wiadomość SMS z wiadomościami z komunikatora internetowego, ale w większości przypadków jest ona używana do bezpośredniego dostarczania reklam do skrzynki" - wyjaśnia Ballado.

Więcej informacji znaleźć można w blogu firmy Symantec.